みなさんこんにちは。Rakuten-CERTの福本です。Rakuten-CERTでは最新のセキュリティ情報をインプットすべく、様々なセキュリティカンファレンスに積極的に参加する機会を設けているのですが、今回はOWASP AppSec USA Conferenceにうちのメンバーを2名派遣してきました。

owasp1owasp2

こちらは会場の様子。

 OWASP AppSecはWebセキュリティに特化したカンファレンスで、僕たちのようなWebサイト側で働くセキュリティエンジニアにとっては、かなりフィットした内容になっているのかなと思います。そして、AppSecのハンズオントレーニングもかなり興味深いものが多いです。ちなみにうちのメンバーは以下のコースを受講して、多くのインプットを持って帰って来ました。

・Building Secure Ajax and Web 2.0 Applications (Dave Wichers / Aspect Security)
・Designing, Building, and Testing Secure Applications on Mobile Devices (Dan Cornell / Denim Group)

 Aspect SecurityといえばWebGoatを中心的にやっているところですね。この前者のコースはテキストが200ページ近くあってかなりのボリュームなのですが、基本的なチェックポイントが体系的に整理されていて大変参考になるものでした。そして、Rakuten-CERTでは今後の強化ポイントとして、smartphoneアプリの診断テクニックをリサーチしているのですが、後者のトレーニングもチェックの網羅性を高めるうえで極めて良いインプットになったのかなと思います。他にもtalkの方では、Ghosts of XSS Past, Present and Futureでの、ここ数年でXSS対策がContextごとに細かなケアーが必要になって来ている話が興味深かったり(やっぱり、新しい攻撃手法にキャッチアップし続けて対策方法にFBし続けるのが大事だなあって・・)、Gray, the New Black: Gray-Box Web Penetration Testingでの、同じスキルで競い合っても攻撃者側の方が時間的に有利なので、防御側はソースコードにアクセス出来る利点を活かして効率的に脆弱性発見し修正しましょうという話しも興味深く、特にこのネタは会場でも盛んに議論され注目度も高まっているようでした。
こちらtalkの方の資料は一般公開されているので、興味があれば読んでみてはいかがでしょうか。

 

 ちなみにですが、AppSecってあまり知られてないみたいで日本からの参加者はたった3名だったそうです(うち楽天が2名)。ちょっと意外に思ったのはディベロッパーが多いということですね。29%もいます。あと、学生は6%だそうです。その中には12歳のハッカー?もいて、ちょっと驚きもありましたが(笑)

bad
http://owasp.blogspot.com/2011/09/owasp-appsec-usa-2011-wrap-up.htmlから

それと、AppSec CTFっていうイベントもあったのですが、こちらは十分な情報収集が出来なかったので次回の機会に・・・