詳細はZap Evangelistsをご覧ください。
境稔さん

亀田勇歩さん

OWASP ZAPとは

OWASP ZAP（正式名：OWASP Zed Attack Proxy）は、OWASPが開発したWebアプリケーションの脆弱性を検出するためのフリーのローカルプロキシツールで、現在でも開発が進められており、定期的にバージョンアップされます。
境さん監修、亀田さん執筆協力によりOWASP ZAPのマニュアルはOWASP Zed Attack Proxy 運用マニュアルとして日本語化されておりますので、併せてご参照ください。
また、ZAP利用のコツを広めるべく、プレゼンテーション/トレーニングの開催計画もあるようです。お問い合せはyuho.kameda[at]owasp.orgまでお願いします。

プロフェッショナル・トレーニング

モバイル・セキュリティ、Webアプリケーションセキュリティは、今や多くの企業にとっての最大のセキュリティ問題として挙げられています。
この問題に取り組む人たちの知見を向上させるため、17日、18日には、プロフェッショナル志向のトレーニングがあります。

17日は、３つのハンズオン・トレーニングがあります。日本語を話せるJerry Hoffによる「Secure Web Development(セキュア・ウェブ開発)」、また日本人の著名なホワイトハッカーによる「OWASP ZAPを利用した簡易脆弱性診断-ハンズオン」、これらのトレーニングは、ウェブアプリケーションを開発する人がさらに安全で高品質なプログラミングを実践し、またそれをテストすることについても徹底して学ぶことができます。

17日、18日と両日にわたる、Dave Wichersによる「Mobile Security: Securing Mobile Devices & Applications（モバイル・セキュリティ：モバイルデバイスとアプリケーションをセキュアにする方法）」は、今回のトレーニングセッションでは特に注目が集まっています。OWASP Mobile Risk Top 10から、重要な脆弱性リスクとその対策について学ぶことができます。このハンズオンでは、受講者はiOSかAndroidかを選ぶことができます。Dave Wichersは、今回、カンファレンスでもOWASP Top 10や、DevOpsについても話してくださいます。

18日のトレーニングには、OWASP BoardメンバーであるTobias Gondromによる、経営者、シニアマネージャ向けの、AppSec定番のトレーニング・ワークショップ「CISO training: Managing Web & Application Security – OWASP for senior managers」があります。これは、全世界のCISO、CIO、CTOクラスの経営層と共にガバナンスを実施するためのプロセスと方法論を学ぶものです。

最後に、Jim Manicoは、18日のトレーニング・デーにおいて、終日のトレーニング「Developer Security Training」を実施してくれます。なんとこのトレーニングは、Jimよりのプレゼントとして、カンファレンス参加者には「無料」となっています！スペシャルゲストも迎えての、楽しい一日となることでしょう。具体的な脆弱性対策を、初心者プログラマーでも理解できるコードを参照しつつ、学ぶことができます。

19,20日のカンファレンスの詳細はSched.orgで

19,20日のカンファレンス・プログラムは、OWASPの世界各地のAppSecで最近定番になってきた、Sched.orgというサイトを使ってご紹介しています。このサイトは、AndroidやiPhoneでも見やすいため、当日も大活躍してくれるはずです。ご参加者と、スピーカーとのソーシャル・ネットワーキングもできるようになっています。セッションの見どころについては、追々ご紹介していきますね。

これらのプログラムにより、OWASP Global AppSec Apac2014への期待が高まります。スピーカーの皆様、よろしくお願いいたします。

採択されたトレーニング

• Mobile Security: Securing Mobile Devices & Applications (Shannon Ross & Dave Wichers) * 2DAYS
• CISO training: Managing Web & Application Security – OWASP for senior managers (Tobias Gondrom)
• ZAPを利用した簡易脆弱性診断ーハンズオン (Minoru Sakai/境 稔)
• Hands on Web and REST Testing: Assessing Apps the OWASP way. (Matt Tesauro)
• Secure Web Development (Jerry Hoff)
• Free 4 hour Developer Security Training (Jim Manico)

採択されたプログラム

• セキュリティライフサイクル管理（Shoji Ito/伊藤 彰嗣）
• HTML5時代の安全なエスケープ手法 (Yoshinori Takesako/竹迫良範)
• XSS Allstars from Japan (Yosuke Hasegawa/はせがわようすけ,Masato Kinugawa,mala)
• Webアプリケーション開発におけるHTML5のセキュリティ (Yoshinori Matsumoto/松本悦宜)
• 世界初のSaaS型WAFサービスの裏側 (Kana Toko/金床)
• Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS
  Systems (Maty Siman ,Sanjay Agnani)
• インターネット上の攻撃トラフィック実態 (Makoto Niimura/新村信)
• How to choose (or write) your own source code scanner (Yu-Lu “Chris” Liu)
• Bad Web Apps are Good – The Broken Web Application Project(Mordecai Kraushar)
• OWASP Top 10 2013 (Dave Wichers)
• Why OWASP AppSensor is the future of Application Security, and why you should be using it.(Dennis Groves)
• The OWASP Proactive Controls(Jim Manico)
• eXtend Security on Xcode (Tokuji Akamine,Raymund Pedraita)
• The Art and Science of Configuring SSL (Nick Galbreath)
• 日本におけるWebアプリケーション脆弱性の実態調査 (Koki Takahashi/高橋恒樹)
• 1 user, 10 places, 100 seconds (Matias Madou)
• 12の事例に学ぶWebアプリケーションのアクセス制御 (Takashi Honda/本田崇)
• Getting a handle on mobile security (Jerry Hoff)
• Penetration Testing – 7 Deadly Sines (Marek Zmysłowski)
• Cloud Keep: Protect your Secrets at Scale (Matt Tesauro)
• OWASP Top 10 for PHP developers (Tobias Zander)
• Preinstalled Android application poisoning (Yoshitaka Kato/加藤 義登)
• それぞれの人のためのOWASPドキュメント（Sha Lung/謝 佳龍）

トレーニング、コンファレンスに参加を検討しておられる皆様、今月中でしたら「早期割引登録」が可能です。お見逃しなきようお勧めいたします。