OWASP Tokyo 2017 について

参加のきっかけ

  • OWASP Tokyo開催のニュースを見た
  • 無料
  • 全世界3箇所でしか開催しない(東京、ボストン、テルアビブ)
  • 開催場所が東工大(東日本)で比較的近い

=>(よくわかってないけど)行くしかない!と思い申し込んだ

 

北は北海道、南は沖縄まで全国各地にサテライト会場が準備されていた。

私は開催場所である東工大の参加枠が割り当てられたのでそちらに参加した。

あとでわかったのだが、東工大会場には机がなかった。司会の方曰く、申し込みの際の詳細情報欄には「サテライト会場には机が準備されているよ」としっかり書いてあった模様。

ただ、発表に使ったスライドはすべて一箇所にまとめてアップロードされているということから、私の場合は机がなくても特に困らなかった。

その資料は以下にある。

sssslide.com

オープニング・セッション

speakerdeck.com

事前知識なしに参加した愚か者(=私)にとっては非常に有り難い発表内容でした。以降の発表の概要をなぞるような発表であり、この後の発表内容が頭にすんなり入ってきた要因ではないかと感じました。

資料について特に口頭で伝えられた内容を補足する部分はないと思うけれども、資料内にある脆弱性診断のハンズオントレーニングについては発表時点ですでに満員だそうです。確か「第二弾を実施するかも?」と言っていた気がします。

セッション1

 

speakerdeck.com

この発表では、代表的な脆弱性10個を列挙しているOWASP Top10のうち、特に有名なSQLiとXSSについて取り扱っていました。Top10の順番は多分悪用されやすい脆弱性順なのかな?と思ってます[要調査]。学生secのおかげで、SQLi...XSS...わかる...わかるぞぉ!とムスカ大佐状態になっていました。

「セキュアコーディングって何だろう?」とセキュリティ・キャンプの修了後アンケートのときから疑問に思っていたのですが、この発表で「そういうことか!」という気持ちになりました。

OWASP Top 10 はこちら

Category:OWASP Top Ten Project - OWASP

セッション2

speakerdeck.com

司会者の方曰く「最小権限についてこれだけ長い時間発表するのは難しい」と言わしめた発表です。恐ろしくスッキリまとまっていました。どれくらいかというと、「設計とかしたことないよ」という私でも、スライド内で提示された問題点に対して、「確かにそうするのが適切だろう」とすぐに思わせるほどに理路整然とした対処法とその説明をされていました。

発表者の方は、「実装上やらねばならないことはしっかりされている方が多い一方で、設計上やらねばならないことをされている方が少ない印象を受ける」と嘆いていたので、もっと多くの人に知ってもらえると良いなと思いました。

 

お昼休み

一言で言えば地獄。ご飯どこで食べようかと迷って歩いてたらガストに到達。オープンしたてであったらしいのと土曜日というのが重なって最凶の混雑具合だった。注文後40分経ってようやく料理が来た。この時点でお昼休み終了14分前。7分で食べきって脱出。あれは明らかに人手が足りていない。店員さんがとても大変そうだった。とりあえず「本当に大変そうですね、頑張ってください」という言葉をかけておいた。これは「料理が来るまでに時間がかかりすぎ」みたいな遠回しな嫌味ではなくただ本心からだったのだけども、文だけ見ると嫌味に見えちゃうのがツラいね。

飲食店のバイトは絶対やらないと心に決めた。また、休日に時間が押しているときはファミレスは悪手だということを今更学んだ。

会場入りはギリギリセーフだった。

 

セッション3

speakerdeck.com

日本初また日本で数人しかいないというOWASPエバンジェリストの方の発表。

OWASP ZAPについての説明でした。

 

セッション5

speakerdeck.com

名言が出た発表。内容は読めばわかる。

「アドレスバーはJavaScriptを実行する場所ですよね」

「大学の先生だからと言って話がうまいとは限らない」

「皆さんとりあえず検索欄にhtmlの打ち消し線を入れたがるんですよ。それでうまいこと打ち消し線が出ると興奮する。」(こんな感じだったような)

司会者の方々にも、「とても上手い発表だった」と言われていた。

 

セッション6

speakerdeck.com

開発プロジェクトについて様々な観点から検討を加え、それらの観点がどの程度の到達度に達しているかをプロジェクトメンバーにイロイロアンケート取って測ってみよう、という感じの内容だったと記憶している。Level1~3まであって、最低限がLevel1, 銀行のクレジットカード情報等を扱う場合はLevel3などとレベル分けがされている。プロジェクトメンバー全体でこの評価結果を共有して、この到達度が目標に到達できるようになろうよという感じだった(気がします)。資料中のExcelやグラフは英語だけれども、どうやら日本語版はすでにできており、リリースを控えている模様。

おかしいな、他にも面白い例があったような…

最終セッション

speakerdeck.com

 

資料4ページ目では笑いが起こった。

資料15ページ目は個人的に「おお」となった。

以降3ページは誰の言葉なんでしょうか…?

Sift Leftの意味はこの資料の15ページ目に集約されている。

5,7ページを見て、たしかに製造業とIT産業の違いは大きいよなぁ…と思いました。

あと最後の玉ねぎ、これはTorかなと思いました。

淡路の玉ねぎは有名ですね。甘いらしいんですが…じゅるり。

 

全体を通して個人的に重要だと思った単語たち

  • OWASP Security Shepherd
  • OWASP WebGoad Project v8.0
  • OWASP ZAP
  • OWASP BWA
  • 脆弱性診断士
  • OWASP Education Project
  • Proactive Control
  • OWASP Top 10

あとOWASPについては技術的な面での協力はもちろん、英語から日本語への翻訳に関するボランティアも大歓迎とのこと。GUIツールの例えば " Folder(F) " とかを「フォルダ(F)」に訳して提案してくれるだけでもいいんだとか。ボランティア協力すると名前が載るらしいのでやってみては?(私も余裕が出たらやってみるつもり。)

おわり。