OWASPを関西にも、カジュアル勉強会「OWASP Kansai」が発足：Webデザイナーにも参加してほしい！

　2014年3月3日、大阪市のコワーキングスペース「TAM Coworking」にて、OWASP Kansai発足を記念した「OWASP Kansai Local Chapter Meeting 1st」が開催された。Webセキュリティに関心を持つ人々が集うカジュアルな勉強会で、東京（OWASP Japan）以外での支部（チャプター）発足は初となる。

　OWASP（Open Web Application Security Project）はWebアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体で、日本ではOWASP Japanが2011年より活動を開始しており、2014年3月17日には「OWASP AppSec APAC 2014」を日本で開催する。

　OWASP Kansaiは関西地域の支部で、斉藤太一氏が支部リーダーを務める。斉藤氏は企業のユーザーコミュニティサイトを管理しており、セキュリティに関して情報収集を行っている。関西においてもWebセキュリティの悩み事を気楽に相談し、情報共有できる場としてOWASP Kansaiを立ち上げた。

　「関西でもいろんな形でWebサービスに携わる人がおり、まだまだセキュリティの啓発が必要。Webデザイナー向けにもセキュリティ情報を提供したいと考え、OWASP Kansaiをはせがわようすけ氏（ネットエージェント）と立ち上げた。みんなでスキルアップしていきたい」（斉藤氏）。

　第1回の勉強会では、30人近くの参加者が集い、東京のOWASP Japanと変わらぬ熱気で開催された。

OWASP Kansai Local Chapter Meeting 1st

クラウドサービスでもシングルサインオンを

　OWASP Kansai発足記念の勉強会では、ID、パスワードに関連するセッションが2つ開催された。

　最初のセッションはID連携をテーマとし、社内の認証システムとクラウドサービスを連携する手法について、サイボウズ システムコンサルティング本部 関西SCグループマネージャーの浅賀功次氏が解説を行った。

　シングルサインオンをオンプレミスの環境で行う場合は、Active DirectoryやCookieを利用したサインオンが主流だ。クラウドサービスでも同じようにシングルサインオンを行う仕組みがいくつかあり、社内の認証システムが外部にパスワードを流れないように実装が行える。サイボウズのサービスでは、SAML 2.0を利用した認証を行っている。

　ID連携を行うと、仕組み上クラウドサービスにパスワードを預ける必要がなく、パスワード漏えいが防止できること、多要素認証など、パスワードポリシーを社内認証システム側で設定できるためクラウドサービス側の仕様に左右されないことなどがメリットとして挙げられる。

　だが一方で、認証システムが止まってしまうとすべてのサービスにログインできなくなる、部門ごとに利用するWebサービスが異なるため、部署単位での導入になりがちでコストメリットが出にくいというデメリットもある。ただ、最近は認証機能の提供に特化した「IDaaS」も登場してきたので、コスト面でのデメリットを避けられるようになっていると浅賀氏は述べた。

アイデンティティ・プロビジョニングにおける特殊な日本の事情

　浅賀氏は加えてアカウントの登録、変更、削除を連携先システムに反映させるアイデンティティ・プロビジョニングについても解説を行った。プロビジョニングにはAPIで連携させる手法があるが、まだプロトコル、フォーマットが統一されていないのが現状だという。

　アイデンティティ・プロビジョニングについては、APIのスキーマとプロトコルを定義する「SCIM」（System for Cross-domain Identity Management）がある。しかし、SCIMの仕様策定作業は主に海外で進んでいるため、日本においてはいくつかの課題があるという。「複雑な組織構造、兼務、役職が存在したり、読み仮名や入社日など、日本が持つ特有の要素に対応しきれていない」（浅賀氏）。これについては現在OpenIDファウンデーション・ジャパンにて拡張スキーマを定義し、ガイドラインを公開、企業向けに標準化を進めているという。

サイボウズ システムコンサルティング本部 関西SCグループマネージャー 浅賀功次氏（撮影：まっちゃだいふく氏）

子どもたちにも使える強力な認証って存在するの？

OWASP Kansai Chapter Leader 斉藤太一氏（撮影：まっちゃだいふく氏）

　2つ目のセッションはOWASP Kansai Chapter Leaderの斉藤太一氏が担当した。斉藤氏が携わるコミュニティサイトは子どもの利用も多く、ログイン時の認証を強化する方法で悩んでおり「ぜひOWASP Kansaiで相談したい」と手を上げたという。「Webサービスを運営し、守る側の責任として何かを考えなくてはならない状況だ」（斉藤氏）。

　現在、CAPTCHAやSMS認証などが利用されているが、SMS認証は子どもたちが携帯電話を持っているとは限らないため利用できない。アメリカでは13歳以下の子どもの個人情報を集めてはならないというCOPPA（Children's Online Privacy Protection Act）が制定されており、決め手となる方法がない状態だという。

　斉藤氏は、生年月日を入力させるという第2認証を用意するだけでも十分では、という徳丸浩氏のブログもとても参考になったと述べる。しかし斉藤氏が管理しているコミュニティサイトでも不正ログインが発生しており、「攻撃者は利用者の生年月日を持ってしまっている。いい解決策が見つからないので、ぜひ意見が欲しい」と述べた。