ただのにっき

■ ドーラ、人間と同じ薬を処方される

数日前、ふとドーラの口をあけて見たら歯茎が真っ赤に腫れていて、なんじゃこらということでかみさんに病院に連れて行ってもらった。診断は免疫系の病気で完治はしないとのことで*1、対処療法しかないらしいが、処方された薬をみてびっくり。これ、おれが処方されてるステロイド剤と同じじゃん。

副作用の強い薬を気軽に処方されるのも驚きだが、投薬量も1日でおれが飲んでる量の半分も飲ませるというのもまた驚きだ。だって体重にして1/20しかないのに。そこで心配になって調べてみたら、どうもステロイドの効き方は人間と猫ではかなり違うらしい。長期服用による副作用もほとんどないそうで、猫にはわりと普通に処方されているものらしい。へー、面白いなぁ。

ということで、数日間にわたって投与してみたら、ぶじに腫れは引いた。でもまた出るかも知れないから継続的に観察しないといかんのだねー。まぁ野良猫はいろんな病気を抱えているものだし覚悟はしてるけど、なにしろ本人が痛いとか言ってくれないから困るよなぁ。

■ OWASP AppSec APAC 2014に参加 (4日目)

昨日に引き続きカンファレンスDayにして最終日。けっこう大物日本人の講演が入ってるんだけど、裏でやってる外人さんの講演も面白そうなので悩ましい。たぶん日本人の話は別のイベントでも聴けると思うので、なかなか聴けない人の話を優先で。

Beginning Mobile Security (Jerry Hoff)

わりと概略っぽい発表だったのでそれほど目新しいことはなく。ただ、モバイルアプリのリスクの多くはいまだサーバサイドにあるのだから(OWASP的な観点で)Web技術のセキュリティは引き続き重要だよ、という指摘は重要。技術者はついつい目新しい方に引っ張られてしまうし。あと、やたらとPhoneGapをdisっていた(たぶんブラウザの保護のない領域で安易にHTML+JavaScriptを使っているという視点だと思う)。質問タイムに「LINEがhttpsを使っていないのをどう思うか?」という質問が出て(本当?)、「たいしたコストアップになるわけじゃないし、やらない理由はないね」とさらっと答えていたけど、そうかぁ?

Open Mic

竹迫さんのを聴くかどうか悩んでこっち。松並さんのSecurity Analysis of Specification / design in SONY’s wayは、分析・設計フェーズでのセキュリティ担保をどうするかという話でなかなか興味深かった。つまるところ形式手法的なやり方で設計に穴がないことを証明しようというアプローチで、昨日の山口さんの「守るべきはデータ」という視点をきちっと入れられそうで良い。良いのだけど、いかんせんやり方がExcelワークすぎるので複雑なシステムでは(主に予算が)破綻しそうな気がするのと、アジャイルなプロジェクトと相性が悪そう。本当に形式言語サイドからのアプローチがあったら面白いとは思った。

で、これが時間オーバーしてもまったく終わる気配がなく、主催者もいっさいストップをかけなかったので(ちゃんと仕事してたタイムキーパーが気の毒だった)、昼食とってたら午後のひと枠が聴けなかった。こういうのは困る。

Application Security at DevOps Speed and Portfolio Scale (Dave Wichers)

で、午後ふた枠目は逆にアジャイルにすり寄ろうという提案で、DevOpsの仕事に乗っかって、セキュリティ関連のテストもCIで動かせという話。セキュリティ万全なはずの銀行サイトよりも普通のWebサービスの方が好成績だったりする現状から、Web企業のやり方がよさそうと気づいた……のかな? セキュリティチェックを自動化するためのセンサーの開発などやることはいっぱいあるけど価値はあるよ、と。

Security in an Interconnected and Complex World of Software (Michael Coates)

……で最後の基調講演では「モジラではCIでセキュリティチェックやってるよ」みたいな話題がさらっと出てきて笑ってしまった。まぁ、実際にセキュリティの観点からきちんとテストが書かれているとは限らないけど、Web Drivenな企業なら普通にやってることかも知れない。

OWASPグッズを買うと寄付になるということだったので、マグを。会社で使ってるAmazonのマグが保温性ゼロになってしまったので代わりに使おう。

■ OWASP AppSec APAC 2014に参加 (3日目)

さて、カンファレンスDayの初日。そういえば学生時代は毎日通っていた御茶ノ水もずいぶん久しぶりで、今回の会場であるsola cityができたのも知らなかった。昨日は春一番ですさまじいビル風だったけど、今日は穏やか。日英の講演が2～3トラックという体裁だけど、同時通訳がつくのでいろいろ安心。

Deploying information security management for proper data life-cycle (山口英)

山口さんは大好きなのでこのイベントの目的はほぼこれといっても過言ではない(ので足を悪くされているとのことで心配)。しゃべりはあいかわらずだった……いや、ちょっとおとなしめ? 守るべきはシステムではなくデータだという指摘は、(ビッグデータ云々のご時世を抜きにしても)常に意識していないといけないポイントだなぁ。やたらとhttpsをdisっていたのが気になったけど、質問してくれた人がいたので納得。特にクライアント認証をもっと使おうという点は、とっくに限界にきているパスワード認証に代わる何かとして選択肢に入れておかないとなぁ。

Inside Story of the first SaaS type WAF Service (金床)

金床さんが開発・運用しているWAF、Scutumの話。AVTOKYO2013.5で聴いたのはそのアルゴリズムであるベイジアンネットワークの話だったけど、こっちは運用の話。全体としては「WAF機能の付いたreverse proxy」という理解でOKなので、あとは普通のWebサービス運用という解釈でよさそう。ただ、reverse proxyということで顧客に渡るアクセスがすべてWAF経由のものになるため、いろいろ問題が出そう──IPアドレスが同一になってアクセス解析や犯罪捜査で困るんじゃとか、セッション管理に癖のあるサービスが動かなそう──という疑問が湧いたが質問するチャンスがなく。

その後、展示スペースで質問したら、IPアドレスは別のヘッダでわたっているのでそれを使ってログを取ってもらうようにしているとか、セッション管理がまずいサービスは最初からお断りしているとか教えてもらった(まぁそりゃそうだ)。手軽で空気のように存在を気にしないで済むWAFというのはいいね。

Get Ready for the Next Big Wave of Attacks (Helen Bravo, Sanjay Agnani)

(主にWordpressの)プラグインの脆弱性を狙った攻撃が増えている中、さまざまなCMSのプラグインの対応についてのサーベイ報告。多くのプラグインに脆弱性があること、有料より無料の方に脆弱性が多いこと、報告しても直らないことなど、まぁいろいろつらい感じのデータが出ていた。しかしどうしようもないよなぁ、このあたり。

とはいえ会場にいたタイ人の開発者と名乗る人物から「さっきからDrupalが有料だつってるけど無料だし」みたいなツッコミが入ると「いや本体は無料だけど有料プラグインが多いし……(しどろもどろ)」みたいな対応をしていたので、報告じたいもちょっと割り引いてみる必要があるかもね(笑)。

OWASP AppSecは日本では初の開催、参加者は400人くらいということでそこそこ大きなイベントなのに、けっこう滞りなく運営されていてすばらしい(WiFiだけはちっともつながらなかったけど)。

昨日の印象にあるようにターゲットはセキュリティの専門家というよりメインストリームにいる開発・運用の人なんじゃないかとは思うけど、その層にちゃんと届いているのかはよくわからない(あまり届いてない気はする)。ただ他のセキュリティ関連イベント(OWASP local chapterとかOWASP Night含む)では見ないような人もおおぜいいたので(数年ぶりに会った旧知の人なんかもいた)、それなりに広い範囲にアピールできてはいるんだろう。