詳細はOWASP XSecurity Projectをご覧ください。ソースはGithubからダウンロード可能です。また、XSecurityのアップデート情報などは@prj_xsecurityからご確認いただけます。
iOSアプリケーション開発者には必見のツールです。ぜひご活用ください。
]]>ご来場くださった皆様のおかげで、感動的なカンファレンスとなりました。
この2日間で合計25セッションが27名のスピーカーにより提供されました。
カンファレンス最終セッションにあたり、全てのプレゼンテーション資料を以下のとおり公開いたします。
さらに、STUDENT IN APPSECなどのゲストスピーカーの資料も随時追加する予定です。
プレゼンテーション資料は、以下のリンク先にて閲覧できます。
https://speakerdeck.com/owaspjapan/
また以下のリンク先からは各資料を直接閲覧できます。
報道関係者各位
プレスリリース
2014年02月20日 OWASP Japan
ウェブアプリケーション、モバイル・セキュリティに特化した国際カンファレンス
OWASP AppSec APAC史上初の日本開催、詳細を公開
東京・御茶ノ水で3月17日~20日
The OWASP Foundationとその日本のチャプターであるOWASP Japanは、ソフトウェアの安全性に取り組む人のニーズに特化した、国際カンファレンスOWASP AppSec APAC 2014を3月17日から20日までソラシティカンファレンスセンター(東京・御茶ノ水)で開催します。
また、このカンファレンスの詳細なプログラム内容を2月20日にWebサイト( https://appsecapac.org/2014 )において公開いたしました。併せて、ご支援くださっているスポンサー企業・団体についても公開しております。
OWASP(The Open Web Application Security Project 読み方:オワスプ)は、ソフトウェア・セキュリティの課題の解決に特化した国際的でオープンなコミュニティです。OWASPのそれぞれのプロジェクトで開発されたソフトウェア・ツールはオープンソース・ライセンスであるため、オープンソース・ソフトウェアコミュニティであると言えます。OWASP Projectには、自由に参加でき、自由に活動することができます。運営母体であるThe OWASP Foundationは、2001年に設立され、2004年4月21日よりアメリカ合衆国にて政府認定NPOとなっています。現在、全世界に120以上の個別テーマのプロジェクトがあり、200以上の拠点にチャプター(支部)があります。
https://www.owasp.org/index.php
日本では、2011年末にOWASP Japanが発足し、情報セキュリティの専門家である岡田 良太郎と、セキュリティ技術の専門家である上野 宣が共に日本チャプターの代表を務めており、さらにこの分野の有識者や教育の専門家など12名から成るアドバイザリーボードと共に運営を進めています。また大勢のボランティアが加わり、のべ2,000名を超える参加者が集う定期的な会合の運営を進めてきました。
https://www.owasp.org/index.php/Japan
Webサイト: https://appsecapac.org/2014/
日程 : 2014年3月17日から20日(17日、18日:トレーニング・デイ/19日、20日:カンファレンス・デイ)
場所 : 東京・御茶ノ水ソラシティカンファレンスセンター
http://solacity.jp/cc/access/index.html
主催 : The OWASP Foundation
OWASP Global AppSec APAC2014実行委員会 (オーガナイザ:岡田 良太郎)
対象者 : OWASP Global AppSec 2014の対象者は、海外、国内全国在住のWebサイトやモバイル関連の技術者、IT関連企業経営者、教育者、研究者、ウェブマーケティング担当者、アントレプレナー、カンファレンススピーカー、またソフトウェア技術を学ぶ学生、そして先進的なインターネット利用者です。OWASPのProject参画に関心のある方も歓迎されています。
協賛 : SCSK株式会社、日本ヒューレット・パッカード株式会社、株式会社インテリジェント ウェイブ、
株式会社セキュアスカイ・テクノロジー、テクマトリックス株式会社、楽天株式会社、株式会社サイバーエージェント、
株式会社インターネットイニシアティブ、日本電気株式会社、パナソニック株式会社、ソニーデジタルネットワークアプリケーションズ株式会社、株式会社ラック、Arxan、Cigital, Inc、ゲヒルン株式会社、株式会社ディー・エヌ・エー、三井物産セキュアディレクション株式会社
後援 : JPCERT/CC、日本CISO協会、The Linux Foundation、
Health 2.0 Japan FUKUSHIMA、CODE BLUE、ほか
日本においては、10年にわたってセキュリティ対策のためOWASPのプロジェクトの数々の成果が活用されてきました。例えば、セキュリティ脆弱性のリスク分析に役立つドキュメント、OWASP Top 10(オワスプ・トップテン)は、多くのボランティアによって翻訳され、活用されてきました。企業や団体にとってITガバナンスに役立つドキュメントプロジェクト、OpenSAMM(ソフトウェア・セキュリティ保証と成熟度モデル)は、経済産業省の事業としてJPCERTコーディネーションセンターが翻訳した日本語翻訳版があります。さらに、エンジニアの間でも、開発したソフトウェアの脆弱性を検査するオープンソースの診断ツールであるOWASP ZAPは、急速に利用が進んでおり、最近、独立行政法人情報処理推進機構がこのOWASP ZAPというツールの有効性が高いことを発表したところです。
(参照: https://www.ipa.go.jp/about/technicalwatch/20131212.html )
特に2011年の東日本大震災以降、一層社会がインターネットに依存する度合いを高め、スマートフォンの普及などからコミュニケーションツールなども増え、かつ多様化しています。それに伴い、特にモバイル・アプリ、Webサイトなどの、一般の方々が利用しているソフトウェアにおいて、セキュリティ面で脆弱性(ぜいじゃくせい)があることの影響として、プライバシーデータの漏洩やデータの改ざん、また中には金銭的な損害にさえ及んでいることが社会の課題となっています。そのリスクの増加のスピードに対し、それらの対応はまるっきり追いついていません。そのため、サービス提供者側にいる人たちの認識が「ただ動作すれば良し」という程度でとどまっていてはだめで、ウェブアプリケーションのライフサイクルにかかわるすべての人、すなわち、企画者、技術者、運営者、また経営陣も、危機感だけでなく具体的な施策の習得を必要としています。
そこで、こうしたオープンな取組みの一層の活性化による知見の共有は企業や業界、職責を超えて行えるため、極めて有効な手立てであると言えます。このカンファレンス開催は、ソフトウェア・セキュリティを取り巻くオープンな取組みを促進することで、よりしなやかなIT社会の実現にソフトウェア技術が貢献する目的に沿うものです。
(参考:国民を守る情報セキュリティサイトに寄せたコラム)
基調講演を行う山口 英氏は、元日本政府内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官を務められ、数々のセキュリティ戦略組織の創立と戦略構築をしてこられたことで知られています。また、OWASP Foundationの代表であるMichael Coates(マイケル・コーツ)氏も来日し、キーノートスピーチを行います。これまで開催された、世界中のOWASP Global AppSecでは登場がなかった、日本国内のIT業界の著名なスペシャリストによる講演やトレーニングが実現します。
先に述べた講演に加え、このたびのカンファレンスにおいて特筆すべきなのは、日本で企業・個人を問わず活用の多い「OWASP Top 10」の執筆者であるデイブ・ウィッチャース氏や、経営陣へのITガバナンス導入のスペシャリストでありOWASP CISOサーベイ&レポートのプロジェクトリーダーであるトビアス・ゴンドロム氏、開発者向けのドキュメントへの多数の貢献で知られるジム・マニコ氏、また日本での経験も豊富なジェリー・ホフ氏など、欧米やアジアパシフィックエリアから、著名なOWASPのプロジェクト担当者が参加する機会であることです。
また、中立的な立場の発表者として、企業や機関から、すなわち国内企業ではSCSK、楽天、サイボウズやJPCERT/CCなどから、またヒューレット・パッカード、アカマイなどのグローバル企業から、これまでエンタープライズレベルで得た知見と、OWASP プロジェクトの成果物の活用の現場などが提供されます。これらスペシャリストによる20ものカンファレンス・セッションは、日英の通訳を提供する予定です。また、すでにソフトウェア・セキュリティに注目している300名以上の出席者が見込まれており、相互に充実したコミュニケーションを取る機会となります。
OWASP AppSec APAC2014では、社会に安全なソフトウェアの価値を訴求ができる人材の拡大への取り組みとして、ソフトウェア・セキュリティの世界で貢献する「女性」を応援するプログラム「Women in AppSec」を実施します。これは、女性がアプリケーションセキュリティの分野でスキルを磨く機会を支援し、より一層キャリアを向上することを支援する目的のものです。さらに、次世代のリーダーシップを担える学生に対する支援である「Students in AppSec」として、アプリケーションセキュリティ分野での積極的な学習を支援するプログラムも実施します。これらは、それぞれ、意欲ある方々のカンファレンスへの無償参加を提供するものです。
これらを通し、ソフトウェア・セキュリティに関する中立的かつ具体的な知見の共有に関し、日本のサービス提供者やエンジニアによる貢献が進むことが期待されます。新たに一層レベルの高い知見の共有がここ日本で行われ、またその成果がOWASP Projectに一層反映されていくことで、ソフトウェア・セキュリティ対応に関する国際的な連携も進むことが期待されます。このカンファレンスの開催は、日本のソフトウェア・セキュリティの普及啓蒙の観点では、これまで国際カンファレンスにあまり参加する機会に恵まれていない日本のソフトウェア・エンジニアにとって有効なものであり、史上初の日本開催となるOWASP AppSec APAC 2014は、極めて重要な里程標 – マイルストーンとなります。
AppSec APAC 2014に、以下の暖かいエンドースメッセージを頂いています。
OWASP Global AppSec Apac 2014実行委員会
メールアドレス: [email protected]
(以下詳細情報は省略)
モバイル・セキュリティ、Webアプリケーションセキュリティは、今や多くの企業にとっての最大のセキュリティ問題として挙げられています。
この問題に取り組む人たちの知見を向上させるため、17日、18日には、プロフェッショナル志向のトレーニングがあります。
17日は、3つのハンズオン・トレーニングがあります。日本語を話せるJerry Hoffによる「Secure Web Development(セキュア・ウェブ開発)」、また日本人の著名なホワイトハッカーによる「OWASP ZAPを利用した簡易脆弱性診断-ハンズオン」、これらのトレーニングは、ウェブアプリケーションを開発する人がさらに安全で高品質なプログラミングを実践し、またそれをテストすることについても徹底して学ぶことができます。
17日、18日と両日にわたる、Dave Wichersによる「Mobile Security: Securing Mobile Devices & Applications(モバイル・セキュリティ:モバイルデバイスとアプリケーションをセキュアにする方法)」は、今回のトレーニングセッションでは特に注目が集まっています。OWASP Mobile Risk Top 10から、重要な脆弱性リスクとその対策について学ぶことができます。このハンズオンでは、受講者はiOSかAndroidかを選ぶことができます。Dave Wichersは、今回、カンファレンスでもOWASP Top 10や、DevOpsについても話してくださいます。
18日のトレーニングには、OWASP BoardメンバーであるTobias Gondromによる、経営者、シニアマネージャ向けの、AppSec定番のトレーニング・ワークショップ「CISO training: Managing Web & Application Security – OWASP for senior managers」があります。これは、全世界のCISO、CIO、CTOクラスの経営層と共にガバナンスを実施するためのプロセスと方法論を学ぶものです。
最後に、Jim Manicoは、18日のトレーニング・デーにおいて、終日のトレーニング「Developer Security Training」を実施してくれます。なんとこのトレーニングは、Jimよりのプレゼントとして、カンファレンス参加者には「無料」となっています!スペシャルゲストも迎えての、楽しい一日となることでしょう。具体的な脆弱性対策を、初心者プログラマーでも理解できるコードを参照しつつ、学ぶことができます。
19,20日のカンファレンス・プログラムは、OWASPの世界各地のAppSecで最近定番になってきた、Sched.orgというサイトを使ってご紹介しています。このサイトは、AndroidやiPhoneでも見やすいため、当日も大活躍してくれるはずです。ご参加者と、スピーカーとのソーシャル・ネットワーキングもできるようになっています。セッションの見どころについては、追々ご紹介していきますね。
]]>