報道関係者各位
プレスリリース
2014年02月20日 OWASP Japan
ウェブアプリケーション、モバイル・セキュリティに特化した国際カンファレンス
OWASP AppSec APAC史上初の日本開催、詳細を公開
東京・御茶ノ水で3月17日~20日
The OWASP Foundationとその日本のチャプターであるOWASP Japanは、ソフトウェアの安全性に取り組む人のニーズに特化した、国際カンファレンスOWASP AppSec APAC 2014を3月17日から20日までソラシティカンファレンスセンター(東京・御茶ノ水)で開催します。
また、このカンファレンスの詳細なプログラム内容を2月20日にWebサイト( https://appsecapac.org/2014 )において公開いたしました。併せて、ご支援くださっているスポンサー企業・団体についても公開しております。
OWASP(The Open Web Application Security Project 読み方:オワスプ)は、ソフトウェア・セキュリティの課題の解決に特化した国際的でオープンなコミュニティです。OWASPのそれぞれのプロジェクトで開発されたソフトウェア・ツールはオープンソース・ライセンスであるため、オープンソース・ソフトウェアコミュニティであると言えます。OWASP Projectには、自由に参加でき、自由に活動することができます。運営母体であるThe OWASP Foundationは、2001年に設立され、2004年4月21日よりアメリカ合衆国にて政府認定NPOとなっています。現在、全世界に120以上の個別テーマのプロジェクトがあり、200以上の拠点にチャプター(支部)があります。
https://www.owasp.org/index.php
日本では、2011年末にOWASP Japanが発足し、情報セキュリティの専門家である岡田 良太郎と、セキュリティ技術の専門家である上野 宣が共に日本チャプターの代表を務めており、さらにこの分野の有識者や教育の専門家など12名から成るアドバイザリーボードと共に運営を進めています。また大勢のボランティアが加わり、のべ2,000名を超える参加者が集う定期的な会合の運営を進めてきました。
https://www.owasp.org/index.php/Japan
OWASP AppSec APAC 2014の概要
Webサイト: https://appsecapac.org/2014/
日程 : 2014年3月17日から20日(17日、18日:トレーニング・デイ/19日、20日:カンファレンス・デイ)
場所 : 東京・御茶ノ水ソラシティカンファレンスセンター
http://solacity.jp/cc/access/index.html
主催 : The OWASP Foundation
OWASP Global AppSec APAC2014実行委員会 (オーガナイザ:岡田 良太郎)
対象者 : OWASP Global AppSec 2014の対象者は、海外、国内全国在住のWebサイトやモバイル関連の技術者、IT関連企業経営者、教育者、研究者、ウェブマーケティング担当者、アントレプレナー、カンファレンススピーカー、またソフトウェア技術を学ぶ学生、そして先進的なインターネット利用者です。OWASPのProject参画に関心のある方も歓迎されています。
協賛 : SCSK株式会社、日本ヒューレット・パッカード株式会社、株式会社インテリジェント ウェイブ、
株式会社セキュアスカイ・テクノロジー、テクマトリックス株式会社、楽天株式会社、株式会社サイバーエージェント、
株式会社インターネットイニシアティブ、日本電気株式会社、パナソニック株式会社、ソニーデジタルネットワークアプリケーションズ株式会社、株式会社ラック、Arxan、Cigital, Inc、ゲヒルン株式会社、株式会社ディー・エヌ・エー、三井物産セキュアディレクション株式会社
後援 : JPCERT/CC、日本CISO協会、The Linux Foundation、
Health 2.0 Japan FUKUSHIMA、CODE BLUE、ほか
カンファレンス開催の背景
日本においては、10年にわたってセキュリティ対策のためOWASPのプロジェクトの数々の成果が活用されてきました。例えば、セキュリティ脆弱性のリスク分析に役立つドキュメント、OWASP Top 10(オワスプ・トップテン)は、多くのボランティアによって翻訳され、活用されてきました。企業や団体にとってITガバナンスに役立つドキュメントプロジェクト、OpenSAMM(ソフトウェア・セキュリティ保証と成熟度モデル)は、経済産業省の事業としてJPCERTコーディネーションセンターが翻訳した日本語翻訳版があります。さらに、エンジニアの間でも、開発したソフトウェアの脆弱性を検査するオープンソースの診断ツールであるOWASP ZAPは、急速に利用が進んでおり、最近、独立行政法人情報処理推進機構がこのOWASP ZAPというツールの有効性が高いことを発表したところです。
(参照: https://www.ipa.go.jp/about/technicalwatch/20131212.html )
特に2011年の東日本大震災以降、一層社会がインターネットに依存する度合いを高め、スマートフォンの普及などからコミュニケーションツールなども増え、かつ多様化しています。それに伴い、特にモバイル・アプリ、Webサイトなどの、一般の方々が利用しているソフトウェアにおいて、セキュリティ面で脆弱性(ぜいじゃくせい)があることの影響として、プライバシーデータの漏洩やデータの改ざん、また中には金銭的な損害にさえ及んでいることが社会の課題となっています。そのリスクの増加のスピードに対し、それらの対応はまるっきり追いついていません。そのため、サービス提供者側にいる人たちの認識が「ただ動作すれば良し」という程度でとどまっていてはだめで、ウェブアプリケーションのライフサイクルにかかわるすべての人、すなわち、企画者、技術者、運営者、また経営陣も、危機感だけでなく具体的な施策の習得を必要としています。
そこで、こうしたオープンな取組みの一層の活性化による知見の共有は企業や業界、職責を超えて行えるため、極めて有効な手立てであると言えます。このカンファレンス開催は、ソフトウェア・セキュリティを取り巻くオープンな取組みを促進することで、よりしなやかなIT社会の実現にソフトウェア技術が貢献する目的に沿うものです。
(参考:国民を守る情報セキュリティサイトに寄せたコラム)
OWASP Global AppSec APAC 2014カンファレンスに関する特筆すべき事柄
基調講演を行う山口 英氏は、元日本政府内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官を務められ、数々のセキュリティ戦略組織の創立と戦略構築をしてこられたことで知られています。また、OWASP Foundationの代表であるMichael Coates(マイケル・コーツ)氏も来日し、キーノートスピーチを行います。これまで開催された、世界中のOWASP Global AppSecでは登場がなかった、日本国内のIT業界の著名なスペシャリストによる講演やトレーニングが実現します。
先に述べた講演に加え、このたびのカンファレンスにおいて特筆すべきなのは、日本で企業・個人を問わず活用の多い「OWASP Top 10」の執筆者であるデイブ・ウィッチャース氏や、経営陣へのITガバナンス導入のスペシャリストでありOWASP CISOサーベイ&レポートのプロジェクトリーダーであるトビアス・ゴンドロム氏、開発者向けのドキュメントへの多数の貢献で知られるジム・マニコ氏、また日本での経験も豊富なジェリー・ホフ氏など、欧米やアジアパシフィックエリアから、著名なOWASPのプロジェクト担当者が参加する機会であることです。
また、中立的な立場の発表者として、企業や機関から、すなわち国内企業ではSCSK、楽天、サイボウズやJPCERT/CCなどから、またヒューレット・パッカード、アカマイなどのグローバル企業から、これまでエンタープライズレベルで得た知見と、OWASP プロジェクトの成果物の活用の現場などが提供されます。これらスペシャリストによる20ものカンファレンス・セッションは、日英の通訳を提供する予定です。また、すでにソフトウェア・セキュリティに注目している300名以上の出席者が見込まれており、相互に充実したコミュニケーションを取る機会となります。
カンファレンスセッション・ハイライト
- 執筆者デイブ・ウィッチャースによる「OWASP Top 10 2013」
- 日本人リサーチャによる「日本におけるWebアプリケーション脆弱性の実態調査」
- WordPressのプラグインの脆弱性検査をリアルタイムに行うデモを含む、「次の大きな攻撃の波に準備しろ!:CMSシステムへのハッキング」
- モバイル・アプリ開発者にとって興味深い「Xcodeへのセキュリティ機能の拡張」や「HTML5時代の安全なエスケープ手法」
- 運営関係者は必見:「1 user, 10 places, 100 seconds」は、大規模なセキュリティログに関するアプローチを示す特別セッション
社会に安全なソフトウェアの価値を訴求ができる人材の拡大への取り組み
OWASP AppSec APAC2014では、社会に安全なソフトウェアの価値を訴求ができる人材の拡大への取り組みとして、ソフトウェア・セキュリティの世界で貢献する「女性」を応援するプログラム「Women in AppSec」を実施します。これは、女性がアプリケーションセキュリティの分野でスキルを磨く機会を支援し、より一層キャリアを向上することを支援する目的のものです。さらに、次世代のリーダーシップを担える学生に対する支援である「Students in AppSec」として、アプリケーションセキュリティ分野での積極的な学習を支援するプログラムも実施します。これらは、それぞれ、意欲ある方々のカンファレンスへの無償参加を提供するものです。
これらを通し、ソフトウェア・セキュリティに関する中立的かつ具体的な知見の共有に関し、日本のサービス提供者やエンジニアによる貢献が進むことが期待されます。新たに一層レベルの高い知見の共有がここ日本で行われ、またその成果がOWASP Projectに一層反映されていくことで、ソフトウェア・セキュリティ対応に関する国際的な連携も進むことが期待されます。このカンファレンスの開催は、日本のソフトウェア・セキュリティの普及啓蒙の観点では、これまで国際カンファレンスにあまり参加する機会に恵まれていない日本のソフトウェア・エンジニアにとって有効なものであり、史上初の日本開催となるOWASP AppSec APAC 2014は、極めて重要な里程標 – マイルストーンとなります。
AppSec APAC 2014へのエンドースメッセージ
AppSec APAC 2014に、以下の暖かいエンドースメッセージを頂いています。
本発表に関するお問い合わせ、カンファレンス取材のお申し込み先
OWASP Global AppSec Apac 2014実行委員会
メールアドレス: [email protected]
(以下詳細情報は省略)
OWASP Global AppSec APAC 2014オフィシャルロゴ
ようやく、トレーニングの詳細と、カンファレンスセッションの詳細を公開しました。プロフェッショナル・トレーニング
モバイル・セキュリティ、Webアプリケーションセキュリティは、今や多くの企業にとっての最大のセキュリティ問題として挙げられています。
この問題に取り組む人たちの知見を向上させるため、17日、18日には、プロフェッショナル志向のトレーニングがあります。
17日は、3つのハンズオン・トレーニングがあります。日本語を話せるJerry Hoffによる「Secure Web Development(セキュア・ウェブ開発)」、また日本人の著名なホワイトハッカーによる「OWASP ZAPを利用した簡易脆弱性診断-ハンズオン」、これらのトレーニングは、ウェブアプリケーションを開発する人がさらに安全で高品質なプログラミングを実践し、またそれをテストすることについても徹底して学ぶことができます。
17日、18日と両日にわたる、Dave Wichersによる「Mobile Security: Securing Mobile Devices & Applications(モバイル・セキュリティ:モバイルデバイスとアプリケーションをセキュアにする方法)」は、今回のトレーニングセッションでは特に注目が集まっています。OWASP Mobile Risk Top 10から、重要な脆弱性リスクとその対策について学ぶことができます。このハンズオンでは、受講者はiOSかAndroidかを選ぶことができます。Dave Wichersは、今回、カンファレンスでもOWASP Top 10や、DevOpsについても話してくださいます。
18日のトレーニングには、OWASP BoardメンバーであるTobias Gondromによる、経営者、シニアマネージャ向けの、AppSec定番のトレーニング・ワークショップ「CISO training: Managing Web & Application Security – OWASP for senior managers」があります。これは、全世界のCISO、CIO、CTOクラスの経営層と共にガバナンスを実施するためのプロセスと方法論を学ぶものです。
最後に、Jim Manicoは、18日のトレーニング・デーにおいて、終日のトレーニング「Developer Security Training」を実施してくれます。なんとこのトレーニングは、Jimよりのプレゼントとして、カンファレンス参加者には「無料」となっています!スペシャルゲストも迎えての、楽しい一日となることでしょう。具体的な脆弱性対策を、初心者プログラマーでも理解できるコードを参照しつつ、学ぶことができます。
19,20日のカンファレンスの詳細はSched.orgで
19,20日のカンファレンス・プログラムは、OWASPの世界各地のAppSecで最近定番になってきた、Sched.orgというサイトを使ってご紹介しています。このサイトは、AndroidやiPhoneでも見やすいため、当日も大活躍してくれるはずです。ご参加者と、スピーカーとのソーシャル・ネットワーキングもできるようになっています。セッションの見どころについては、追々ご紹介していきますね。
@ITより、記事「OWASP AppSec USA 2013 レポート(前編):深刻な「ブラインドSQLインジェクション」の脅威 (1/2)」が公開されています。これは、昨年11月にニューヨークで開催された、AppSecの、参加者レポートとなっています。
・Webアプリセキュリティにまつわるあらゆる話題を扱う「OWASP」
・4日間にわたるAppSec USA 2013の概要
・漏れていないようで漏れている!? ブラインドSQLインジェクションの脅威
など、非常にツボを押さえたレポートとなっています。なんと続編もあるようです。楽しみです。
なんと、@ITは、2012年のAppSec USAの参加者レポート「WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは? 」も掲載しているんですね。
前回のNYCに続き、AppSecが日本で行われるのは大変すばらしいことです。興味深いセッションが、OWASP AppSecのレギュラースピーカー、加えて、日本人からもかつてない人数のスピーカーが世界に向けて発信しディスカッションする機会になります。
Global AppSec Apac 2014 in Tokyo、ご期待ください。
]]>
大変お待たせいたしました、日本語での登録フォームが整いましたのでご案内いたします。これによる代理登録や複数人数の一括登録も可能です。昨年の参加登録開始以来、「英語の登録フォームは難しい」とのご意見を数多く頂戴しておりました。ようやく、この登録サービスの英語のラベルを日本語に置き換える作業が終わりました。ただ、なんと言いますか、まだまだ適切とはいえない文言、わかりやすいとは言いにくいラベルになっていることや、ご登録いただく情報は英語でご記載いただくことなど、まだ多少ご不便もあろうかと思います。何卒ご容赦いただけますと幸いです。もちろん、明らかな間違いなどお気づきの場合には、遠慮なくお知らせください。
なお、すでに登録された方々などの情報追加やトレーニングのお申込みには従来のページからお願いします。また、英語の登録フォームのほうがわかりやすい、という方もおられるかもしれません。その場合には、ぜひこちらの英語ページより、従来の英語版登録フォームをお使いください。
]]>
OWASPには、Podcast “OWASP 24/7″を配信するチームがいます。最近、AppSec Apac 2014についてのインタビュー“AppSec APAC 2014 with Tobias Gondrom – What To Expect”(超訳:「トビアス・ゴンドロムに聞いてみた:AppSec Apac 2014で期待できること」)が配信されました。インタビューに答えているトビアス・ゴンドロム氏は、The OWASP Foundationのボードメンバーであり、このたびのAppSecでは企業の経営層特にCIO向けの「CISOトレーニング」や、カンファレンスでOWASPボードメンバーとしてのウェルカムスピーチをしていただく予定となっています。
さて、このインタビューの会話からしますと、多くのスピーカー応募があったことに言及され、なかなか欧米では聴くことができない日本での経験や調査結果がシェアされることへの期待があります。日本での初めてのカンファレンスであることに加え、日本ならではの「お・も・て・な・し(hospitality is amazing…)」にはすでに高い期待があるようで、前後の観光や食べ物(BBQ? Sushi?)など、カンファレンスともども大きな期待が寄せられているようです。
なお、実行委員会では、準備チームや当日ボランティアスタッフ(参加者による部分的なお手伝いを含む)を募集しています。健康で、食事に制限がなく、気持よく仲間と働ける方を希望します。英語力は必須ではありませんが、日本語でも英語でもコミュニケーションできる方は大歓迎です。こちらからご応募ください。( http://bit.ly/OWASPJAPANSupporter )
また、facebookに設置された「OWASP Japanメンターが集うグループ」もあります。また、本カンファレンスや関連するアトラクションの企画・実行に熱意のある方は、ご加入の上、ぜひご意向をお知らせください。
]]>これらのプログラムにより、OWASP Global AppSec Apac2014への期待が高まります。スピーカーの皆様、よろしくお願いいたします。
採択されたトレーニング
- Mobile Security: Securing Mobile Devices & Applications (Shannon Ross & Dave Wichers) * 2DAYS
- CISO training: Managing Web & Application Security – OWASP for senior managers (Tobias Gondrom)
- ZAPを利用した簡易脆弱性診断ーハンズオン (Minoru Sakai/境 稔)
- Hands on Web and REST Testing: Assessing Apps the OWASP way. (Matt Tesauro)
- Secure Web Development (Jerry Hoff)
- Free 4 hour Developer Security Training (Jim Manico)
採択されたプログラム
- セキュリティライフサイクル管理(Shoji Ito/伊藤 彰嗣)
- HTML5時代の安全なエスケープ手法 (Yoshinori Takesako/竹迫良範)
- XSS Allstars from Japan (Yosuke Hasegawa/はせがわようすけ,Masato Kinugawa,mala)
- Webアプリケーション開発におけるHTML5のセキュリティ (Yoshinori Matsumoto/松本悦宜)
- 世界初のSaaS型WAFサービスの裏側 (Kana Toko/金床)
- Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS
Systems (Maty Siman ,Sanjay Agnani) - インターネット上の攻撃トラフィック実態 (Makoto Niimura/新村信)
- How to choose (or write) your own source code scanner (Yu-Lu “Chris” Liu)
- Bad Web Apps are Good – The Broken Web Application Project(Mordecai Kraushar)
- OWASP Top 10 2013 (Dave Wichers)
- Why OWASP AppSensor is the future of Application Security, and why you should be using it.(Dennis Groves)
- The OWASP Proactive Controls(Jim Manico)
- eXtend Security on Xcode (Tokuji Akamine,Raymund Pedraita)
- The Art and Science of Configuring SSL (Nick Galbreath)
- 日本におけるWebアプリケーション脆弱性の実態調査 (Koki Takahashi/高橋恒樹)
- 1 user, 10 places, 100 seconds (Matias Madou)
- 12の事例に学ぶWebアプリケーションのアクセス制御 (Takashi Honda/本田崇)
- Getting a handle on mobile security (Jerry Hoff)
- Penetration Testing – 7 Deadly Sines (Marek Zmysłowski)
- Cloud Keep: Protect your Secrets at Scale (Matt Tesauro)
- OWASP Top 10 for PHP developers (Tobias Zander)
- Preinstalled Android application poisoning (Yoshitaka Kato/加藤 義登)
- それぞれの人のためのOWASPドキュメント(Sha Lung/謝 佳龍)
トレーニング、コンファレンスに参加を検討しておられる皆様、今月中でしたら「早期割引登録」が可能です。お見逃しなきようお勧めいたします。
]]>