脅威に対する具体的な“施策”の共有を――「OWASP AppSec APAC 2014」開催へOWASP Top 10の解説やWordPressプラグインのライブ診断も

Webアプリケーションセキュリティの向上、啓発に取り組む業界団体、The OWASP Foundationとその日本チャプターであるOWASP Japanは、2014年3月17日から20日にかけて開催する国際カンファレンス「OWASP AppSec APAC 2014」のプログラムを公表した。

» 2014年02月21日 21時00分 公開
[高橋睦美,@IT]

 Webアプリケーションセキュリティの向上、啓発に取り組む業界団体、The OWASP Foundationとその日本チャプターであるOWASP Japanは、2014年3月17日から20日にかけて「OWASP AppSec APAC 2014」を開催することを発表し、プログラムを公表した

 The OWASP Foundationは、Webアプリケーションやモバイルセキュリティの向上に取り組んでいる団体だ。これまで、Webアプリケーションに潜む代表的な脆弱性についてまとめた「OWASP Top 10」リストをまとめ、定期的に更新してきた他、オープンソースの脆弱性検査ツール「OWASP ZAP」を公開するなど、さまざまな取り組みを進めてきた。

 Webセキュリティに関する国際カンファレンス「OWASP AppSec」もこうした取り組みの1つで、2013年には米国ニューヨークで開催された。OWASP AppSec APAC 2014はそのアジア太平洋版で、日本では発の開催となる。

 OWASP Japanの代表で、OWASP AppSec APAC 2014実行委員会のオーガナイザーを務める岡田良太郎氏によると、イベント運営はコミュニティのボランティアによって支えられており、技術的にも、商業価値的にも中立であることが特徴という。

 また、往々にして脅威やコンセプトが取り沙汰されることの多いセキュリティカンファレンスの中で、「脅威だけでなく具体的な“施策”が提供されること、また言いっぱなし、聞きっぱなしで終わるのではなく、受講後のコミュニケーションとしてOWASPのプロジェクトに参加できること」も他にはないユニークな点だとした。

 さらに、セキュリティ人材拡大に向けた取り組みとして、「女性」や「学生」がソフトウェアセキュリティ分野でスキルを磨く機会として「Women in AppSec」「Students in AppSec」といったプログラムも実施する。

増大するリスクに追い付くために

 OWASP AppSec APAC 2014の会場は東京・御茶ノ水のソラシティ・カンファレンスセンターで、17日〜18日の「トレーニング・デイ」と、19日〜20日の「カンファレンス・デイ」に分け、専門家によるトレーニングや講演などが行われる。基調講演には、OWASP Foundationの代表、Michael Coates氏や、元内閣官房情報セキュリティ補佐官の山口英氏が登壇する予定だ。

 岡田氏によると、「OWASP Top 10」の共同執筆者であるDave Wichers氏が自ら最新版について解説する「OWASP Top 10 2013」をはじめ、「日本におけるWebアプリケーション脆弱性の実態調査」「Xcodeへのセキュリティ機能の拡張/eXtend Security on Xcode」など、専門家によるセッションが目白押しという。

 特に、広く使われているCMS「WordPress」の脆弱性について解説する「次の大きな攻撃の波に準備しろ!:CMSシステムへのハッキング/Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS Systems」では、Sanjay Agnani氏が参加者から事前にメールで「テストしてほしいWordPressプラグイン」のリクエストを募り、講演中のデモでそれらに対しセキュリティ診断を行うという。

 岡田氏は、「2011年の大災害以降、社会はインターネットに依存する度合いをいっそう高め、スマートフォンをはじめとするコミュニケーションツールの増加、多様化が進んでいる。それに伴い、特にモバイルアプリやWebサイトといった、一般のユーザーが利用するソフトウェアの脆弱性が原因となって、プライバシーデータの漏洩やデータの改ざん、さらには金銭的な損害さえ発生し、社会的な課題となっている。だが、そのリスクの増加スピードに対応がまるきり追い付いていない」と指摘する。

 技術者だけでなく、企画者や運営者、あるいは経営陣など、Webアプリケーションやモバイルアプリに関わる全ての人が具体的な施策を習得できる場、知見を共有する場として、OWASP AppSec APAC 2014を活用してほしいとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。