「“セキュアなソフトウェア開発”は夢物語ではない」──OWASPがトレーニングを無償で開催:ソフトウェアを作る人、作らせる人に必須の知識を提供
OWASPが2017年9月30日に、アプリケーションセキュリティに関する無償トレーニングイベント「2017 OWASP World Tour Tokyo」を東京工業大学で開催する。開催の狙いをキーパーソンに聞いた。
ソフトウェアセキュリティの向上に向けた情報の共有と啓発に取り組むコミュニティー「Open Web Application Security Project Foundation(OWASP)」が、2017年9月30日にセキュリティに関するトレーニングイベント「2017 OWASP World Tour Tokyo」を東京工業大学で開催すると発表した。
このイベントは、OWASPの成果物を活用したセキュアな開発のためのトレーニングを国内の技術者や学生向けに無償で実施するもの。メイン会場の500人に加え、名古屋、関西、沖縄といったサテライト会場の参加者も含めて約1000人の参加を見込む。併せて、講義を行うインストラクターの募集も開始している。
OWASP Japanチャプターリーダーの岡田良太郎氏は、2017 OWASP World Tour Tokyoを開催する趣旨を「セキュアな開発がいいということはみんな分かっているが、まるで雲の上の話。具体的に何をすればいいのかがそもそも分からないという声をよく耳にする。今回はその問題を解決したい」と述べた。
セキュアな開発、何からどう始めるかをブートキャンプ的に解説
OWASPは、Webアプリケーションのセキュリティ向上を目指し、さまざまなプロジェクトを実施してきた。例えば、深刻なWebアプリケーションの脆弱(ぜいじゃく)性をまとめたドキュメント「OWASP Top 10」が代表的だ。それ以外にも、オープンソースの脆弱性スキャンツール「OWASP ZAP」の開発、セキュアなアプリケーションの検証に関する標準仕様「OWASP Application Security Verification Standard(ASVS)」の作成など、さまざまな形でアプリケーションセキュリティの底上げを提言してきた。
しかし残念ながら、岡田氏によると2017年8月現在でセキュアなソフトウェア開発を取り入れているのは、一部の先進的な企業や開発者だけなのだという。セキュアな開発プロセスどころか、自社が管理すべきWebサイトすら把握できていない企業が4割近くに上るという調査結果もあるほどだ。
「守る以前に、守る対象すら把握できていない。その状況は今もあまり変わっておらず、開発時には『少ない時間でとにかく動けば良い、とにかく機能ありきだ』となりがちだ」(岡田氏)
そこで2017 OWASP World Tour Tokyoでは、「セキュアな開発が大事なのは分かっている。しかし何からどのようにやればいいかが分からない」という課題を抱えている人に向け、OWASPの一連の成果物を活用しながらセキュアな開発を進める方法を、6時間かけて体系的に説明する。
イベントのポイントは「ブートキャンプ的」なことだろう。過去にOWASPが実施してきたトレーニングやカンファレンスは、どちらかといえばトップノッチ(先端層)をターゲットにしていたが、今回のイベントではイチから勉強したいと考える人に向けている。旬のトピックだけに偏らず、SQLインジェクション、認証・認可、ログ収集のポイントといった基本的なトピックを網羅する。コーディングだけでなく、設計や検証、サイクルの回し方やプロセスといった部分も含めて解説する予定だ。
同時に「Call for Trainers」という形で公募するインストラクターにも、そうした観点での講義を求める。インストラクターは「ベンダーニュートラルな内容か」「魅力的な内容か」などの点でレビューし、6〜7人を選ぶ予定だ。トレーナー募集の詳細はこちらを参照してほしい。
作る側と同時に、「作らせる側」のリテラシー向上も
岡田氏は、「最近はCSIRTの構築など、既に仕上がったものに含まれる問題の修正にばかり目が行きがちだ。それを否定するものではない。しかしそれは、火種をそのままにして消防士を増やすようなもので、根本的な問題は解決できていない。プログラミングや設定、ソフトウェア調達や管理の段階からセキュリティを意識することによって──例えば、アカウントの権限は最小限に抑えるといった一般的な原則を知り、対策するだけでも、相当のリスクを減らすことができる」と説明する。
また「作る側」はもちろんだが、システムを発注し、検収する「作らせる側(発注者側)」のリテラシー向上も必要だ。自社の事柄なのだから、丸投げではなく、「正しくセキュリティ要件を伝えられる」ようにならなければならない。建築業界のように、安心・安全なモノ作りに関する経験や知見が蓄積されてきた業界に比べ、ソフトウェア業界はまだ比較的新しい。だからこそ、セキュアなモノ作りに関する発注側の理解も高めていく必要があると岡田氏は述べる。
企業固有の優先順位に基づき、セキュリティリスクのプロファイルと照らし合わせて、何をどのように強化するか、守るべきかの判断を下すのは、システムのオーナー、つまり、発注者側だ。今回のイベントでは、そんな発注者側にセキュアな開発のメリットを理解してもらうきっかけになればとも期待しているという。
「この日をきっかけに、エンジニアがよりよい準備を行い、教養としてのセキュリティを自然に実践できるようになってほしい。そして、日本全体を『シフトレフト』(設計、開発段階からセキュリティを考慮する、セキュリティの前倒し)させていきたい」(岡田氏)
2017 OWASP World Tour Tokyoの参加条件はない。セキュリティに興味を持つエンジニアはもちろん、何らかのサービス開発に携わるエンジニアや学生、システム発注者などで幅広い参加者を募る。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
無償かつ高機能な「ModSecurity」をもっと活用しよう!
前編に続き、講演内容を中心に、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」の模様をお伝えします。
脅威に対する具体的な“施策”の共有を――「OWASP AppSec APAC 2014」開催へ
Webアプリケーションセキュリティの向上、啓発に取り組む業界団体、The OWASP Foundationとその日本チャプターであるOWASP Japanは、2014年3月17日から20日にかけて開催する国際カンファレンス「OWASP AppSec APAC 2014」のプログラムを公表した。
404 Found――Webをセキュアに、ネットをセキュアに
Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」がニューヨークで開催されました。その模様をお伝えします。
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか?
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。