みなさんこんにちは。Rakuten-CERTの福本です。
先日、OWASP AppSec APAC 2012に参加してきました!楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられています!!トレーニングにそこまで投資してもらえるのはエンジニアとしては大変ありがたいことで、会社からの期待に応えるべく今回はシドニーに行って来ました。(笑)
#パネルディスカッションにはWhiteHat
SecurityのCTOのJeremiah Grossmanも。あのCSS history hackを見つけた。
一応、今回のカンファレンスはOWASPのGlobalイベントなのですが、参加者は100人もいなかったでしょうか。(日本人は僕たち3名だけ)でも、こじんまりした感じでコミュニケーションも取りやすかったのでけっこう良かったです(笑)
セッションの内容についてですが、引き続きsecurity auditingをいかに効果的に、効率的にやっていくか、という話が多かったように思います。Black box testingでは見つけられる脆弱性やスケーラビリティにも限界があるので、ソースコードを診断に利用するアプローチが進んでいて、守り側としては今後もソースコードにアクセス出来る利点を最大に活かしていこうという流れは加速して行きそうです。実際、楽天も社内の診断ではGray box testingに変えつつあります。診断していてどうも挙動がおかしいな?と思ったとき、いろいろ動きを試してみるよりもソース見た方が手っ取り早いので。他にもクラウド型のソースコード診断の話や、モバイルアプリケーションのセキュリティの話など、いろいろ参考になりました。あと、今回のAppSecの参加者はpen testerの方が多かったような気がします。Pen testerが参考になるネタも結構あったからでしょうか。
社内にずっといると視野が狭くなりがちなので、自分達の対策を客観的に捉え、新しい方向性を考えるうえで、こういう機会は大事にしたいですね。
おまけ: