ただのにっき
2014-03-20(木) [長年日記]
■ OWASP AppSec APAC 2014に参加 (4日目)
昨日に引き続きカンファレンスDayにして最終日。けっこう大物日本人の講演が入ってるんだけど、裏でやってる外人さんの講演も面白そうなので悩ましい。たぶん日本人の話は別のイベントでも聴けると思うので、なかなか聴けない人の話を優先で。
Beginning Mobile Security (Jerry Hoff)
わりと概略っぽい発表だったのでそれほど目新しいことはなく。ただ、モバイルアプリのリスクの多くはいまだサーバサイドにあるのだから(OWASP的な観点で)Web技術のセキュリティは引き続き重要だよ、という指摘は重要。技術者はついつい目新しい方に引っ張られてしまうし。あと、やたらとPhoneGapをdisっていた(たぶんブラウザの保護のない領域で安易にHTML+JavaScriptを使っているという視点だと思う)。質問タイムに「LINEがhttpsを使っていないのをどう思うか?」という質問が出て(本当?)、「たいしたコストアップになるわけじゃないし、やらない理由はないね」とさらっと答えていたけど、そうかぁ?
Open Mic
竹迫さんのを聴くかどうか悩んでこっち。松並さんのSecurity Analysis of Specification / design in SONY’s wayは、分析・設計フェーズでのセキュリティ担保をどうするかという話でなかなか興味深かった。つまるところ形式手法的なやり方で設計に穴がないことを証明しようというアプローチで、昨日の山口さんの「守るべきはデータ」という視点をきちっと入れられそうで良い。良いのだけど、いかんせんやり方がExcelワークすぎるので複雑なシステムでは(主に予算が)破綻しそうな気がするのと、アジャイルなプロジェクトと相性が悪そう。本当に形式言語サイドからのアプローチがあったら面白いとは思った。
で、これが時間オーバーしてもまったく終わる気配がなく、主催者もいっさいストップをかけなかったので(ちゃんと仕事してたタイムキーパーが気の毒だった)、昼食とってたら午後のひと枠が聴けなかった。こういうのは困る。
Application Security at DevOps Speed and Portfolio Scale (Dave Wichers)
で、午後ふた枠目は逆にアジャイルにすり寄ろうという提案で、DevOpsの仕事に乗っかって、セキュリティ関連のテストもCIで動かせという話。セキュリティ万全なはずの銀行サイトよりも普通のWebサービスの方が好成績だったりする現状から、Web企業のやり方がよさそうと気づいた……のかな? セキュリティチェックを自動化するためのセンサーの開発などやることはいっぱいあるけど価値はあるよ、と。
Security in an Interconnected and Complex World of Software (Michael Coates)
……で最後の基調講演では「モジラではCIでセキュリティチェックやってるよ」みたいな話題がさらっと出てきて笑ってしまった。まぁ、実際にセキュリティの観点からきちんとテストが書かれているとは限らないけど、Web Drivenな企業なら普通にやってることかも知れない。
OWASPグッズを買うと寄付になるということだったので、マグを。会社で使ってるAmazonのマグが保温性ゼロになってしまったので代わりに使おう。