OWASP Nagoya Local Chapter Meeting 1stに参加して
OWASP Nagoya Local Chapter Meeting 1st
に参加してきました。今日はそこで思ったことなどを書いていきたいと思います。
OWASP Nagoya Local Chapter Meeting #とは
OWASP Foundation - Open Web Application Security Project は、Webシステムをはじめとするアプリケーションソフトウェアのセキュリティについての情報共有と、セキュアなソフトウェア開発を促進するための普及・啓発を行うオープンコミュニティです。 OWASP Nagoya は東海地区におけるOWASPのローカルチャプターとして活動をしております。
今回の第一回目のChapter Meetingでは、OWASP Japan Chapter代表の岡田さんと、徳丸本の徳丸さんが「ここからはじめるアプリケーションセキュリティ」について、講演をしました。
なぜ参加したの?
名古屋(というか東海地方)って、こういうセキュリティ関連だったり低レイヤーなイベントってないですよね。だから、すごく探していたんです。 それで、見つけた瞬間衝動的に参加ボタンを押してしまいました。以前、Webのアルバイトもしていたので、そっち方面には興味があったし。
何をしたの?
メモを取っていなかったので、ざっくり書きます(色々とうろ覚え、メモを取る癖をつけなきゃなぁ)
最初、運営からの説明がありました。OWASP Nagoya!爆誕!!!って感じでした。
次に、岡田さんの話になりました。OWASP発足の経緯や、色々な事例を混ぜながらのOWASPの各プロジェクトの概要説明、セキュリティのあり方?(考え方?)について聞きました。
得られた知見をざっくりまとめます。セキュリティについて考えるときは、OWASPのプロジェクトがとても役に立ちます。セキュリティで何か困ったときは、とりあえずOWASPのプロジェクトを探してみる。先人が議論したものはうまく使っていこう!
個人的になるほどなぁと思ったのが、セキュリティはがちがちに固めればいいものではないということ。 岡田さんが挙げていたものに、Facabookの例がありました。
後進国のような場所では、弱い暗号通信にしか対応していない環境を使っている場合がある。そのような場合、弱い暗号を切り捨てるのではなく、うまく共存していく方法をFacebookは探す。なぜなら、Facebookではそのような後進国の人々もユーザの多くを占め、Facebookの機能が生活のパイプラインになっている人々もいるから、というものです。セキュリティってこういう場合もあるのか、難しいなぁと思いました(小並感)。
1年ほど前にWebサイトを作ったときは、セキュリティがちがちに固めよう!と思って、何も考えずにWebに載っている色々な対策を実装していたなぁ… そういうとこまで考えられるようにならなきゃ。
もう一つ、何に関してもShift Leftがとっても大事!なのです。
Shift left testing - Wikipedia
いろいろと行動してると、本質というか、根本の原因とかを忘れて無駄なことやったりしちゃいますよね。Shift Leftの考え方を常に頭に入れておけば、そういう状況に陥る数は減るはずです。シフトレフト、なんにでも応用できるし、大事(寿司にも応用できるらしい!Shift Leftすごい!!)。
だいたいこんな感じですかね(ほんとはもっとあるだろうけど、記憶があやふや…orz。メモ取ろう)。あと、岡田さんの話には、終始ネタがぶち込まれてて、とても面白かった。是非、また聞きたいです!!
次は徳丸さん。徳丸さんはXSSやSQLi、CSRF攻撃の実践を某PHP入門書に載っているコードで行っていた。 当たり前だけど、コードの一貫性が大事なことや、Webアプリケーションへの攻撃の考え方、防ぎ方などがわかりました。 最近CTFを始めて、Web問題はまださっぱりだったので、攻撃の実践はとても参考になりました。Web問題解いてみよう!!
こんな感じで貴重な話を色々とお聞きすることができました。
あと、会場特典のおかげで、
に参加することができました。わーーい!
ちなみに、11月、1月、3月にもOWASP Nagoyaのイベントが予定されているようです。楽しみ(/・ω・)/。
感想とか
名古屋(というか東海)でこういうイベントは中々ないので、とても嬉しかったし、楽しかったです。 懇親会でもいろいろな人と話せたし、後輩の雄姿(後輩がすごい人と熱く語り合っていた、すごい)も見ることができて、良かったです。
東京だとセキュリティだったり低レイヤーのイベント、たくさんあるんですけどね…ほんとにうらやましい。
もっと、東海地方でこういうイベントを盛り上げていきたいです。東京に負けてられない!
多分、東海でもこういうイベントって、需要はあると思うんです。実際、今回のChapter Meeting、定員ギリギリまで集まってたし。
だから、動ける人が動いていて、もっと雰囲気から活発にしなきゃいけないですよね。僕は動ける(暇)人なので、これからどんどん動いていこうと思います!!
OWASP Nagoyaのスタッフを募集していたので、応募してみました。大学(浜松)でも低レイヤーの勉強会などを開催する予定。頑張ろう!東海!!
