「“セキュアなソフトウェア開発”は夢物語ではない」──OWASPがトレーニングを無償で開催：ソフトウェアを作る人、作らせる人に必須の知識を提供

セキュアな開発、何からどう始めるかをブートキャンプ的に解説

　OWASPは、Webアプリケーションのセキュリティ向上を目指し、さまざまなプロジェクトを実施してきた。例えば、深刻なWebアプリケーションの脆弱（ぜいじゃく）性をまとめたドキュメント「OWASP Top 10」が代表的だ。それ以外にも、オープンソースの脆弱性スキャンツール「OWASP ZAP」の開発、セキュアなアプリケーションの検証に関する標準仕様「OWASP Application Security Verification Standard（ASVS）」の作成など、さまざまな形でアプリケーションセキュリティの底上げを提言してきた。

　しかし残念ながら、岡田氏によると2017年8月現在でセキュアなソフトウェア開発を取り入れているのは、一部の先進的な企業や開発者だけなのだという。セキュアな開発プロセスどころか、自社が管理すべきWebサイトすら把握できていない企業が4割近くに上るという調査結果もあるほどだ。

　「守る以前に、守る対象すら把握できていない。その状況は今もあまり変わっておらず、開発時には『少ない時間でとにかく動けば良い、とにかく機能ありきだ』となりがちだ」（岡田氏）

　そこで2017 OWASP World Tour Tokyoでは、「セキュアな開発が大事なのは分かっている。しかし何からどのようにやればいいかが分からない」という課題を抱えている人に向け、OWASPの一連の成果物を活用しながらセキュアな開発を進める方法を、6時間かけて体系的に説明する。

　イベントのポイントは「ブートキャンプ的」なことだろう。過去にOWASPが実施してきたトレーニングやカンファレンスは、どちらかといえばトップノッチ（先端層）をターゲットにしていたが、今回のイベントではイチから勉強したいと考える人に向けている。旬のトピックだけに偏らず、SQLインジェクション、認証・認可、ログ収集のポイントといった基本的なトピックを網羅する。コーディングだけでなく、設計や検証、サイクルの回し方やプロセスといった部分も含めて解説する予定だ。

「2017 OWASP World Tour Tokyo」の詳細

　同時に「Call for Trainers」という形で公募するインストラクターにも、そうした観点での講義を求める。インストラクターは「ベンダーニュートラルな内容か」「魅力的な内容か」などの点でレビューし、6〜7人を選ぶ予定だ。トレーナー募集の詳細はこちらを参照してほしい。

作る側と同時に、「作らせる側」のリテラシー向上も

　岡田氏は、「最近はCSIRTの構築など、既に仕上がったものに含まれる問題の修正にばかり目が行きがちだ。それを否定するものではない。しかしそれは、火種をそのままにして消防士を増やすようなもので、根本的な問題は解決できていない。プログラミングや設定、ソフトウェア調達や管理の段階からセキュリティを意識することによって──例えば、アカウントの権限は最小限に抑えるといった一般的な原則を知り、対策するだけでも、相当のリスクを減らすことができる」と説明する。

　また「作る側」はもちろんだが、システムを発注し、検収する「作らせる側（発注者側）」のリテラシー向上も必要だ。自社の事柄なのだから、丸投げではなく、「正しくセキュリティ要件を伝えられる」ようにならなければならない。建築業界のように、安心・安全なモノ作りに関する経験や知見が蓄積されてきた業界に比べ、ソフトウェア業界はまだ比較的新しい。だからこそ、セキュアなモノ作りに関する発注側の理解も高めていく必要があると岡田氏は述べる。

　企業固有の優先順位に基づき、セキュリティリスクのプロファイルと照らし合わせて、何をどのように強化するか、守るべきかの判断を下すのは、システムのオーナー、つまり、発注者側だ。今回のイベントでは、そんな発注者側にセキュアな開発のメリットを理解してもらうきっかけになればとも期待しているという。

　「この日をきっかけに、エンジニアがよりよい準備を行い、教養としてのセキュリティを自然に実践できるようになってほしい。そして、日本全体を『シフトレフト』（設計、開発段階からセキュリティを考慮する、セキュリティの前倒し）させていきたい」（岡田氏）

　2017 OWASP World Tour Tokyoの参加条件はない。セキュリティに興味を持つエンジニアはもちろん、何らかのサービス開発に携わるエンジニアや学生、システム発注者などで幅広い参加者を募る。