OWASP AppSec APAC 2014 » conference

Conference Days全資料公開！

sho — Thu, 20 Mar 2014 08:03:06 +0000

OWASP Global AppSec APAC 2014にご参加いただきありがとうございました！

ご来場くださった皆様のおかげで、感動的なカンファレンスとなりました。
この2日間で合計25セッションが27名のスピーカーにより提供されました。

カンファレンス最終セッションにあたり、全てのプレゼンテーション資料を以下のとおり公開いたします。
さらに、STUDENT IN APPSECなどのゲストスピーカーの資料も随時追加する予定です。

プレゼンテーション資料は、以下のリンク先にて閲覧できます。
https://speakerdeck.com/owaspjapan/

また以下のリンク先からは各資料を直接閲覧できます。

3月19日

Deploying information security management for proper data life-cycle ／ Suguru Yamaguchi
The OWASP Top-10 2013 ／ Dave Wichers
Top Ten Proactive Web Application Controls ／ Jim Manico
OWASP AppSensor Rethinking Information Security ／ Dennis Groves
Women in AppSec ／ Ikue Yamanishi
OWASP Document for Everyone ／ Chia-Lung Hsieh
Inside Story of the first SaaS type WAF Service ／ Kanatoko
12 Case Studies for the Access ／ Takashi Honda
The Art and Science of SSL Configuration ／ Nick Galbreath
Internet Attack Reality ／ Makoto Niimura
Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS Systems ／ Helen Bravo, Sanjay Agnani
OWASP Broken Web Application Project ／ Mordecai Kraushar
The investigation of Web Application Vulnerabilities in Japan ／ Koki Takahashi

3月20日

eXtend Security on Xcode ／ Tokuji Akamine, Raymund Dante Pedraita
HTML5 Security for Web Application Development ／ Yoshinori Matsumoto（動画：01,02,03,04,05）
Management for Security Life Cycle ／ Akitsugu Ito
Beginning Mobile Security ／ Jerry Hoff
Bypass SOP, Theft your data(XSS Allstars from Japan) ／ Yosuke Hasegawa
The Complete Investigation of Encoding and Security(XSS Allstars from Japan) ／ Masato Kinugawa
XSS with HTML parsing confusion(XSS Allstars from Japan) ／ ma.la
How to Choose (Or write) your own source code scanner ／ Yu-Lu “Chris” Liu
Pre-installed Android application poisoning ／ Yoshitaka Kato
Secure Escaping method for the age of HTML5 ／ Yoshinori Takesako
Security Analysis of Specification / design in SONY’s way(Openmic) ／ Masaru Matsunami
OWASP Mobile Top Ten 2014(Openmic) ／ Jonathan Carter
1 User, 10 Places, 100 Seconds ／ Matias Madou
Application Security at DevOps Speed and Portfolio Scale ／ Dave Wichers
Security in an Interconnected and Complex World of Software ／ Michael Coates

日米モバイルセキュリティ対決なるか？（Openmic）

sho — Wed, 19 Mar 2014 14:11:49 +0000

Open Micセッションへのご登録有り難うございます。

皆様からのご投票によりOpen Micのプレゼンターは以下2名となりました。（※発表順）

Masaru Matsunami
Jonathan Carter

Masaru Matsunami

会社：SonyDNA
日本語題：ややマニア向け？仕様・設計のセキュリティ分析。SONYでやってる分析方法をお見せします！
English：Security Analysis of Specification / design in SONY’s way(for Professional)

Jonathan Carter

会社：Arxan
日本語題：モバイル完全性のリスクOWASPモバイルトップ10新規追加項目に対応するには？
English：Mobile Integrity Risk OWASP Mobile Top 10 meet the new addition

2名の方には、明日11:40〜12:30にTerrace Roomにて、それぞれ30分プレゼンしていただきます。
是非Terrace Roomまでお越しください。

Open Micセッションのご案内

sho — Wed, 19 Mar 2014 02:21:36 +0000

カンファレンス参加者の皆様、この機会にAppSecカンファレンスのスピーカーになってみませんか？

明日11:50〜12:40にTerrace RoomにてOpen Micセッションを行います。
Open Micセッションは、すべてのカンファレンス参加者が参画できるプログラムです。

本日中にTerrace Roomに掲示されているホワイトボードにてご応募頂けます。
その後、ご来場者からの投票により勝者が決められ、Winner（4名程度）は、Sched.orgで表示されます。なお、プレゼンテーションはお一人１５分程度を想定しています。

皆様からの多くのご提案お待ちしております。

カンファレンスデーのご案内

sho — Tue, 18 Mar 2014 09:34:42 +0000

2日間に渡るトレーニングデーが終了しました。
いよいよ明日からはカンファレンスデーが始まります。
1日目の明日は9時受付開始、10時にウェルカムセッション開始予定です。
既にトレーニングデーにてバッジを受け取り済みの方は、バッジを忘れずにご持参いただき、レジストレーションエリアにお越しください。
それでは皆様のご来場お待ちしております。

OWASPグッズのご紹介

sho — Mon, 17 Mar 2014 06:00:17 +0000

今日は何の日だかご存知でしょうか。
そうです。OWASP AppSec APAC 2014のトレーニングデー開催日です。
さて、3月19日、20日のカンファレンスデーでは、様々なOWASPグッズの販売を予定しております。

card holder：500円
mug：1000円
tea mug(black and blue)：1500円
water bottle：1500円
t-shirt(black and white) size S,M,L：2000円
sweater(black and white) size S,M,L：4000円

↑左：water bottle、中央：blue mug、右：black mug、後ろ：white sweater

数に限りがありますので、当日はお早めにお買い求め頂くことをお勧めいたします。
尚、お支払いは現金のみとなります。予めご了承ください。

カンファレンスデーにはプレゼンテーション以外にも、グッズ販売や企業展示など様々なイベントがありますのでいろいろ歩きまわってください。

国際色豊かな出展社様のご紹介

sho — Thu, 13 Mar 2014 06:45:16 +0000

カンファレンス期間には、セキュリティ向上を志す数々の企業様によるご出展があります。ここにご紹介いたしますので、カンファレンスにご来場の際はぜひこのExhibition Areaにお越しください。デモンストレーションなど、興味深い内容が期待されます！

ここに、各出展ブースの企業のご紹介を記載します。これらの情報は、公開情報や、企業からいただいた情報に基づくものです。カンファレンスの合間やコーヒーブレイクなどの際には、国際色豊かな数々の出展者との会話をお楽しみください。

日本ヒューレット・パッカード株式会社

HP is a leading provider of security and compliance solutions for modern enterprises that want to mitigate risk in their hybrid environments and defend against advanced threats.

SCSK株式会社

システム開発からITインフラ構築、ITマネジメント、BPO、ITハード・ソフト販売まで、フルラインアップで提供します。セキュリティ分野においては、「サイバーセキュリティソリューションをコアコンピタンスとし、安全なITサービスをグローバルに提供することにより、健全な情報化社会の発展に貢献する」を理念とし、迅速かつ的確な対策を施します。

株式会社インテリジェントウェイブ

株式会社インテリジェントウェイブはカードビジネス業務、システムソリューション業務、セキュリティビジネス業務を行っています。インテリジェントウェイブが提供する、次世代型ソースコード解析製品のCheckmarx CxSuiteは、ビルド前のコードに対するスキャンを可能とし、容易に高精度な解析結果と充実した修正支援情報を提供します。

株式会社セキュアスカイ・テクノロジー

自社開発の診断ツールを活かし、高品質で低価格、スピーディーなWebアプリケーション脆弱性診断をメインにサービス展開。その後、セキュリティ教育やセキュア開発ガイドライン策定支援サービス、SaaS型WAFサービス「Scutum（スキュータム）」を提供開始し、延べ 300社以上のお客様にサービスをご提供してまいりました。

テクマトリックス株式会社

テクマトリックスのビジネスは２つの事業により成り立っています。１つ目はクラウドコンピューティング時代に技術革新をもたらすインテグレーションを提供する「情報基盤事業」、２つ目は、顧客の抱える問題領域におけるベストプラクティスを実装したアプリケーションの提供を行なう「アプリケーション・サービス事業」です。

Acunetix

Acunetix Web Vulnerability Scanner brings an extensive feature-set of both automated and manual penetration testing tools, enabling security analysts to perform a complete vulnerability assessment, and repair detected threats, with just the one product.

Arxan

Arxan protects the App Economy with the world’s strongest application security products. Arxan’s solutions mitigate the Top Ten Mobile Risk, “Lack of binary protection”, identified by OWASP.

Cigital, Inc

Cigital, Inc. is the leading software security consulting firm in the world. Cigital plans and implements initiatives that help organizations ensure their applications are secure and reliable while also improving how they build and deploy software.

日本電気株式会社

NECグループおよびNECは、C&Cクラウド事業の推進などを通じ、信頼される製品・サービス、情報セキュリティソリューションを提供することで社会に貢献したいと考えています。
カンファレンスでは、クラウドサービスやオンプレミスシステムに対応したWebアプリケーションファイアウォール製品’InfoCage SiteShell’を出展いたします。

株式会社ラック

ラックは、現代の重要な経営課題であり、企業の社会的責任となる「情報セキュリティ」を念頭に置き、お客様それぞれのIT戦略に応じたビジネスの「安心」を一貫してサポートします。ラックは政府機関に招かれて、国家レベルでのセキュリティ対策への提言や支援を行うなど、業界をリードする立場として高度なIT社会を支えています。

Security Innovation

Security Innovation is comprised of application security trailblazers – one of the first companies to focus solely on this critical aspect of Product & IT Security.

ソニーデジタルネットワークアプリケーションズ株式会社

ソニーデジタルネットワークアプリケーションズ株式会社は、デジタル機器用組み込みソフトウエアや先進のオープンプラットフォーム上でのソフトウエア開発を行っております。また、スマートフォンアプリケーションの脆弱性診断、Webアプリケーション診断、ローカライズを通して、お客様の課題を解決するために最適なソリューションを提供しています。

(ISC)²®

Inc., (ISC)²®, is the global, not-for-profit leader in educating and certifying information security professionals throughout their careers. We are recognized for Gold Standard certifications and world class education programs.

トレーニング・カンファレンスの詳細を公開しました

rio — Thu, 13 Feb 2014 12:05:40 +0000

ようやく、トレーニングの詳細と、カンファレンスセッションの詳細を公開しました。

プロフェッショナル・トレーニング

モバイル・セキュリティ、Webアプリケーションセキュリティは、今や多くの企業にとっての最大のセキュリティ問題として挙げられています。
この問題に取り組む人たちの知見を向上させるため、17日、18日には、プロフェッショナル志向のトレーニングがあります。

17日は、３つのハンズオン・トレーニングがあります。日本語を話せるJerry Hoffによる「Secure Web Development(セキュア・ウェブ開発)」、また日本人の著名なホワイトハッカーによる「OWASP ZAPを利用した簡易脆弱性診断-ハンズオン」、これらのトレーニングは、ウェブアプリケーションを開発する人がさらに安全で高品質なプログラミングを実践し、またそれをテストすることについても徹底して学ぶことができます。

17日、18日と両日にわたる、Dave Wichersによる「Mobile Security: Securing Mobile Devices & Applications（モバイル・セキュリティ：モバイルデバイスとアプリケーションをセキュアにする方法）」は、今回のトレーニングセッションでは特に注目が集まっています。OWASP Mobile Risk Top 10から、重要な脆弱性リスクとその対策について学ぶことができます。このハンズオンでは、受講者はiOSかAndroidかを選ぶことができます。Dave Wichersは、今回、カンファレンスでもOWASP Top 10や、DevOpsについても話してくださいます。

18日のトレーニングには、OWASP BoardメンバーであるTobias Gondromによる、経営者、シニアマネージャ向けの、AppSec定番のトレーニング・ワークショップ「CISO training: Managing Web & Application Security – OWASP for senior managers」があります。これは、全世界のCISO、CIO、CTOクラスの経営層と共にガバナンスを実施するためのプロセスと方法論を学ぶものです。

最後に、Jim Manicoは、18日のトレーニング・デーにおいて、終日のトレーニング「Developer Security Training」を実施してくれます。なんとこのトレーニングは、Jimよりのプレゼントとして、カンファレンス参加者には「無料」となっています！スペシャルゲストも迎えての、楽しい一日となることでしょう。具体的な脆弱性対策を、初心者プログラマーでも理解できるコードを参照しつつ、学ぶことができます。

19,20日のカンファレンスの詳細はSched.orgで

19,20日のカンファレンス・プログラムは、OWASPの世界各地のAppSecで最近定番になってきた、Sched.orgというサイトを使ってご紹介しています。このサイトは、AndroidやiPhoneでも見やすいため、当日も大活躍してくれるはずです。ご参加者と、スピーカーとのソーシャル・ネットワーキングもできるようになっています。セッションの見どころについては、追々ご紹介していきますね。

CFP, CFT採択を発表しました

rio — Tue, 07 Jan 2014 01:30:58 +0000

OWASP AppSec APAC 2014のセッション発表とトレーニングの募集は終了しておりましたが、本日、採択されたセッションを発表しました。45セッション提案、10のトレーニング提案をいただき、いずれも大変レベルの高いご提案で、選択にあたっては困難を極めました。

これらのプログラムにより、OWASP Global AppSec Apac2014への期待が高まります。スピーカーの皆様、よろしくお願いいたします。

採択されたトレーニング

Mobile Security: Securing Mobile Devices & Applications (Shannon Ross & Dave Wichers) * 2DAYS
CISO training: Managing Web & Application Security – OWASP for senior managers (Tobias Gondrom)
ZAPを利用した簡易脆弱性診断ーハンズオン (Minoru Sakai/境稔)
Hands on Web and REST Testing: Assessing Apps the OWASP way. (Matt Tesauro)
Secure Web Development (Jerry Hoff)
Free 4 hour Developer Security Training (Jim Manico)

採択されたプログラム

セキュリティライフサイクル管理（Shoji Ito/伊藤彰嗣）
HTML5時代の安全なエスケープ手法 (Yoshinori Takesako/竹迫良範)
XSS Allstars from Japan (Yosuke Hasegawa/はせがわようすけ,Masato Kinugawa,mala)
Webアプリケーション開発におけるHTML5のセキュリティ (Yoshinori Matsumoto/松本悦宜)
世界初のSaaS型WAFサービスの裏側 (Kana Toko/金床)
Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS
Systems (Maty Siman ,Sanjay Agnani)
インターネット上の攻撃トラフィック実態 (Makoto Niimura/新村信)
How to choose (or write) your own source code scanner (Yu-Lu “Chris” Liu)
Bad Web Apps are Good – The Broken Web Application Project(Mordecai Kraushar)
OWASP Top 10 2013 (Dave Wichers)
Why OWASP AppSensor is the future of Application Security, and why you should be using it.(Dennis Groves)
The OWASP Proactive Controls(Jim Manico)
eXtend Security on Xcode (Tokuji Akamine,Raymund Pedraita)
The Art and Science of Configuring SSL (Nick Galbreath)
日本におけるWebアプリケーション脆弱性の実態調査 (Koki Takahashi/高橋恒樹)
1 user, 10 places, 100 seconds (Matias Madou)
12の事例に学ぶWebアプリケーションのアクセス制御 (Takashi Honda/本田崇)
Getting a handle on mobile security (Jerry Hoff)
Penetration Testing – 7 Deadly Sines (Marek Zmysłowski)
Cloud Keep: Protect your Secrets at Scale (Matt Tesauro)
OWASP Top 10 for PHP developers (Tobias Zander)
Preinstalled Android application poisoning (Yoshitaka Kato/加藤義登)
それぞれの人のためのOWASPドキュメント（Sha Lung/謝佳龍）

トレーニング、コンファレンスに参加を検討しておられる皆様、今月中でしたら「早期割引登録」が可能です。お見逃しなきようお勧めいたします。