詳細はOWASP XSecurity Projectをご覧ください。ソースはGithubからダウンロード可能です。また、XSecurityのアップデート情報などは@prj_xsecurityからご確認いただけます。

iOSアプリケーション開発者には必見のツールです。ぜひご活用ください。

詳細はZap Evangelistsをご覧ください。
境稔さん

亀田勇歩さん

OWASP ZAPとは

OWASP ZAP（正式名：OWASP Zed Attack Proxy）は、OWASPが開発したWebアプリケーションの脆弱性を検出するためのフリーのローカルプロキシツールで、現在でも開発が進められており、定期的にバージョンアップされます。
境さん監修、亀田さん執筆協力によりOWASP ZAPのマニュアルはOWASP Zed Attack Proxy 運用マニュアルとして日本語化されておりますので、併せてご参照ください。
また、ZAP利用のコツを広めるべく、プレゼンテーション/トレーニングの開催計画もあるようです。お問い合せはyuho.kameda[at]owasp.orgまでお願いします。

ご来場くださった皆様のおかげで、感動的なカンファレンスとなりました。
この2日間で合計25セッションが27名のスピーカーにより提供されました。

カンファレンス最終セッションにあたり、全てのプレゼンテーション資料を以下のとおり公開いたします。
さらに、STUDENT IN APPSECなどのゲストスピーカーの資料も随時追加する予定です。

プレゼンテーション資料は、以下のリンク先にて閲覧できます。
https://speakerdeck.com/owaspjapan/

また以下のリンク先からは各資料を直接閲覧できます。

3月19日

• Deploying information security management for proper data life-cycle ／ Suguru Yamaguchi
• The OWASP Top-10 2013 ／ Dave Wichers
• Top Ten Proactive Web Application Controls ／ Jim Manico
• OWASP AppSensor Rethinking Information Security ／ Dennis Groves
• Women in AppSec ／ Ikue Yamanishi
• OWASP Document for Everyone ／ Chia-Lung Hsieh
• Inside Story of the first SaaS type WAF Service ／ Kanatoko
• 12 Case Studies for the Access ／ Takashi Honda
• The Art and Science of SSL Configuration ／ Nick Galbreath
• Internet Attack Reality ／ Makoto Niimura
• Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS Systems ／ Helen Bravo, Sanjay Agnani
• OWASP Broken Web Application Project ／ Mordecai Kraushar
• The investigation of Web Application Vulnerabilities in Japan ／ Koki Takahashi

3月20日

• eXtend Security on Xcode ／ Tokuji Akamine, Raymund Dante Pedraita
• HTML5 Security for Web Application Development ／ Yoshinori Matsumoto（動画：01,02,03,04,05）
• Management for Security Life Cycle ／ Akitsugu Ito
• Beginning Mobile Security ／ Jerry Hoff
• Bypass SOP, Theft your data(XSS Allstars from Japan) ／ Yosuke Hasegawa
• The Complete Investigation of Encoding and Security(XSS Allstars from Japan) ／ Masato Kinugawa
• XSS with HTML parsing confusion(XSS Allstars from Japan) ／ ma.la
• How to Choose (Or write) your own source code scanner ／ Yu-Lu “Chris” Liu
• Pre-installed Android application poisoning ／ Yoshitaka Kato
• Secure Escaping method for the age of HTML5 ／ Yoshinori Takesako
• Security Analysis of Specification / design in SONY’s way(Openmic) ／ Masaru Matsunami
• OWASP Mobile Top Ten 2014(Openmic) ／ Jonathan Carter
• 1 User, 10 Places, 100 Seconds ／ Matias Madou
• Application Security at DevOps Speed and Portfolio Scale ／ Dave Wichers
• Security in an Interconnected and Complex World of Software ／ Michael Coates

• Masaru Matsunami
• Jonathan Carter

Masaru Matsunami

• 会社：SonyDNA
• 日本語題：ややマニア向け？仕様・設計のセキュリティ分析。SONYでやってる分析方法をお見せします！
• English：Security Analysis of Specification / design in SONY’s way(for Professional)

Jonathan Carter

• 会社：Arxan
• 日本語題：モバイル完全性のリスクOWASPモバイルトップ10新規追加項目に対応するには？
• English：Mobile Integrity Risk OWASP Mobile Top 10 meet the new addition

2名の方には、明日11:40〜12:30にTerrace Roomにて、それぞれ30分プレゼンしていただきます。
是非Terrace Roomまでお越しください。

明日11:50〜12:40にTerrace RoomにてOpen Micセッションを行います。
Open Micセッションは、すべてのカンファレンス参加者が参画できるプログラムです。

本日中にTerrace Roomに掲示されているホワイトボードにてご応募頂けます。
その後、ご来場者からの投票により勝者が決められ、Winner（4名程度）は、Sched.orgで表示されます。なお、プレゼンテーションはお一人１５分程度を想定しています。

皆様からの多くのご提案お待ちしております。

• card holder：500円
• mug：1000円
• tea mug(black and blue)：1500円
• water bottle：1500円
• t-shirt(black and white) size S,M,L：2000円
• sweater(black and white) size S,M,L：4000円

↑左：water bottle、中央：blue mug、右：black mug、後ろ：white sweater

数に限りがありますので、当日はお早めにお買い求め頂くことをお勧めいたします。
尚、お支払いは現金のみとなります。予めご了承ください。

カンファレンスデーにはプレゼンテーション以外にも、グッズ販売や企業展示など様々なイベントがありますのでいろいろ歩きまわってください。

ここに、各出展ブースの企業のご紹介を記載します。これらの情報は、公開情報や、企業からいただいた情報に基づくものです。カンファレンスの合間やコーヒーブレイクなどの際には、国際色豊かな数々の出展者との会話をお楽しみください。

日本ヒューレット・パッカード株式会社

HP is a leading provider of security and compliance solutions for modern enterprises that want to mitigate risk in their hybrid environments and defend against advanced threats.

SCSK株式会社

システム開発からITインフラ構築、ITマネジメント、BPO、ITハード・ソフト販売まで、フルラインアップで提供します。セキュリティ分野においては、「サイバーセキュリティソリューションをコアコンピタンスとし、安全なITサービスをグローバルに提供することにより、健全な情報化社会の発展に貢献する」を理念とし、迅速かつ的確な対策を施します。

株式会社インテリジェント ウェイブ

株式会社インテリジェント ウェイブはカードビジネス業務、システムソリューション業務、セキュリティビジネス業務を行っています。インテリジェントウェイブが提供する、次世代型ソースコード解析製品のCheckmarx CxSuiteは、ビルド前のコードに対するスキャンを可能とし、容易に高精度な解析結果と充実した修正支援情報を提供します。

株式会社セキュアスカイ・テクノロジー

自社開発の診断ツールを活かし、高品質で低価格、スピーディーなWebアプリケーション脆弱性診断をメインにサービス展開。その後、セキュリティ教育やセキュア開発ガイドライン策定支援サービス、SaaS型WAFサービス「Scutum（スキュータム）」を提供開始し、延べ 300社以上のお客様にサービスをご提供してまいりました。

テクマトリックス株式会社

テクマトリックスのビジネスは２つの事業により成り立っています。１つ目はクラウドコンピューティング時代に技術革新をもたらすインテグレーションを提供する「情報基盤事業」、２つ目は、顧客の抱える問題領域におけるベストプラクティスを実装したアプリケーションの提供を行なう「アプリケーション・サービス事業」です。

Acunetix

Acunetix Web Vulnerability Scanner brings an extensive feature-set of both automated and manual penetration testing tools, enabling security analysts to perform a complete vulnerability assessment, and repair detected threats, with just the one product.

Arxan

Arxan protects the App Economy with the world’s strongest application security products. Arxan’s solutions mitigate the Top Ten Mobile Risk, “Lack of binary protection”, identified by OWASP.

Cigital, Inc

Cigital, Inc. is the leading software security consulting firm in the world. Cigital plans and implements initiatives that help organizations ensure their applications are secure and reliable while also improving how they build and deploy software.

日本電気株式会社

NECグループおよびNECは、C&Cクラウド事業の推進などを通じ、信頼される製品・サービス、情報セキュリティソリューションを提供することで社会に貢献したいと考えています。
カンファレンスでは、クラウドサービスやオンプレミスシステムに対応したWebアプリケーションファイアウォール製品’InfoCage SiteShell’を出展いたします。

株式会社ラック

ラックは、現代の重要な経営課題であり、企業の社会的責任となる「情報セキュリティ」を念頭に置き、お客様それぞれのIT戦略に応じたビジネスの「安心」を一貫してサポートします。ラックは政府機関に招かれて、国家レベルでのセキュリティ対策への提言や支援を行うなど、 業界をリードする立場として高度なIT社会を支えています。

Security Innovation

Security Innovation is comprised of application security trailblazers – one of the first companies to focus solely on this critical aspect of Product & IT Security.

ソニーデジタルネットワークアプリケーションズ株式会社

ソニーデジタルネットワークアプリケーションズ株式会社は、デジタル機器用組み込みソフトウエアや先進のオープンプラットフォーム上でのソフトウエア開発を行っております。また、スマートフォンアプリケーションの脆弱性診断、Webアプリケーション診断、ローカライズを通して、お客様の課題を解決するために最適なソリューションを提供しています。

(ISC)²®

Inc., (ISC)²®, is the global, not-for-profit leader in educating and certifying information security professionals throughout their careers. We are recognized for Gold Standard certifications and world class education programs.

• 各セッションの詳細説明
• タグによるセッションのフィルタ
• スピーカーのご紹介
• 他のご聴講者の閲覧
• MySchedの登録・閲覧

の機能を備えており、聴講するセッションご選択の一助としてご活用いただけます。また、サイトはiPhone、androidでも見やすいため、当日会場でも大活躍すること間違いなしです。

Schedの始め方

下記5ステップで基本的な機能をご利用いただけます。

1. アカウントのご作成（SIGN UP）
2. ログイン（LOG IN）
3. スケジュール閲覧
4. スケジュール登録
5. MySched閲覧

1.SIGN UP

SIGN UPページでアカウントをご作成ください。facebook連携、もしくはemailアドレスでアカウントを作成できます。

2.LOG IN

SIGN UPでご作成いただいた情報を元にログインしてください。ログイン後にスケジュール画面が表示されます。

3.スケジュール閲覧

各セッションのリンクにマウスカーソルを合わせて頂くと詳細情報をご覧いただけます。

リンククリックでより見やすい画面で詳細情報をご覧いただけます。

4.スケジュール登録

トップ画面からは全てのセッションからご聴講したいセッションを赤枠内クリックで簡単にご登録いただけます。

セッション詳細情報画面からは赤枠内をクリックして個別にご登録いただけます。

5.MySched閲覧

ご登録頂いたスケジュールは赤枠内をクリックしてご確認いただけます。

PCからの画面はこちらの通りです。

androidからも同様にご確認いただけます。

今回ご紹介出来ませんでしたが、他にもSchedには便利な機能があるので、ご活用いただけると幸いです。それでは、当日皆様にお会いできることを楽しみにしております。

報道関係者各位
プレスリリース

2014年02月20日 OWASP Japan

ウェブアプリケーション、モバイル・セキュリティに特化した国際カンファレンス
OWASP AppSec APAC史上初の日本開催、詳細を公開
東京・御茶ノ水で3月17日～20日

The OWASP Foundationとその日本のチャプターであるOWASP Japanは、ソフトウェアの安全性に取り組む人のニーズに特化した、国際カンファレンスOWASP AppSec APAC 2014を3月17日から20日までソラシティカンファレンスセンター(東京・御茶ノ水)で開催します。
また、このカンファレンスの詳細なプログラム内容を2月20日にWebサイト( https://appsecapac.org/2014 )において公開いたしました。併せて、ご支援くださっているスポンサー企業・団体についても公開しております。

OWASP(The Open Web Application Security Project　読み方：オワスプ)は、ソフトウェア・セキュリティの課題の解決に特化した国際的でオープンなコミュニティです。OWASPのそれぞれのプロジェクトで開発されたソフトウェア・ツールはオープンソース・ライセンスであるため、オープンソース・ソフトウェアコミュニティであると言えます。OWASP Projectには、自由に参加でき、自由に活動することができます。運営母体であるThe OWASP Foundationは、2001年に設立され、2004年4月21日よりアメリカ合衆国にて政府認定NPOとなっています。現在、全世界に120以上の個別テーマのプロジェクトがあり、200以上の拠点にチャプター(支部)があります。
https://www.owasp.org/index.php

日本では、2011年末にOWASP Japanが発足し、情報セキュリティの専門家である岡田 良太郎と、セキュリティ技術の専門家である上野 宣が共に日本チャプターの代表を務めており、さらにこの分野の有識者や教育の専門家など12名から成るアドバイザリーボードと共に運営を進めています。また大勢のボランティアが加わり、のべ2,000名を超える参加者が集う定期的な会合の運営を進めてきました。
https://www.owasp.org/index.php/Japan

OWASP AppSec APAC 2014の概要

Webサイト： https://appsecapac.org/2014/
日程　　 ： 2014年3月17日から20日（17日、18日：トレーニング・デイ／19日、20日：カンファレンス・デイ）
場所　　 ： 東京・御茶ノ水ソラシティカンファレンスセンター
http://solacity.jp/cc/access/index.html
主催　　 ： The OWASP Foundation
OWASP Global AppSec APAC2014実行委員会 (オーガナイザ：岡田 良太郎)
対象者　 ： OWASP Global AppSec 2014の対象者は、海外、国内全国在住のWebサイトやモバイル関連の技術者、IT関連企業経営者、教育者、研究者、ウェブマーケティング担当者、アントレプレナー、カンファレンススピーカー、またソフトウェア技術を学ぶ学生、そして先進的なインターネット利用者です。OWASPのProject参画に関心のある方も歓迎されています。

協賛　　 ： SCSK株式会社、日本ヒューレット・パッカード株式会社、株式会社インテリジェント ウェイブ、
株式会社セキュアスカイ・テクノロジー、テクマトリックス株式会社、楽天株式会社、株式会社サイバーエージェント、
株式会社インターネットイニシアティブ、日本電気株式会社、パナソニック株式会社、ソニーデジタルネットワークアプリケーションズ株式会社、株式会社ラック、Arxan、Cigital, Inc、ゲヒルン株式会社、株式会社ディー・エヌ・エー、三井物産セキュアディレクション株式会社

後援　　 ： JPCERT/CC、日本CISO協会、The Linux Foundation、
Health 2.0 Japan FUKUSHIMA、CODE BLUE、ほか

カンファレンス開催の背景

日本においては、10年にわたってセキュリティ対策のためOWASPのプロジェクトの数々の成果が活用されてきました。例えば、セキュリティ脆弱性のリスク分析に役立つドキュメント、OWASP Top 10(オワスプ・トップテン)は、多くのボランティアによって翻訳され、活用されてきました。企業や団体にとってITガバナンスに役立つドキュメントプロジェクト、OpenSAMM(ソフトウェア・セキュリティ保証と成熟度モデル)は、経済産業省の事業としてJPCERTコーディネーションセンターが翻訳した日本語翻訳版があります。さらに、エンジニアの間でも、開発したソフトウェアの脆弱性を検査するオープンソースの診断ツールであるOWASP ZAPは、急速に利用が進んでおり、最近、独立行政法人情報処理推進機構がこのOWASP ZAPというツールの有効性が高いことを発表したところです。
(参照： https://www.ipa.go.jp/about/technicalwatch/20131212.html )

特に2011年の東日本大震災以降、一層社会がインターネットに依存する度合いを高め、スマートフォンの普及などからコミュニケーションツールなども増え、かつ多様化しています。それに伴い、特にモバイル・アプリ、Webサイトなどの、一般の方々が利用しているソフトウェアにおいて、セキュリティ面で脆弱性(ぜいじゃくせい)があることの影響として、プライバシーデータの漏洩やデータの改ざん、また中には金銭的な損害にさえ及んでいることが社会の課題となっています。そのリスクの増加のスピードに対し、それらの対応はまるっきり追いついていません。そのため、サービス提供者側にいる人たちの認識が「ただ動作すれば良し」という程度でとどまっていてはだめで、ウェブアプリケーションのライフサイクルにかかわるすべての人、すなわち、企画者、技術者、運営者、また経営陣も、危機感だけでなく具体的な施策の習得を必要としています。

そこで、こうしたオープンな取組みの一層の活性化による知見の共有は企業や業界、職責を超えて行えるため、極めて有効な手立てであると言えます。このカンファレンス開催は、ソフトウェア・セキュリティを取り巻くオープンな取組みを促進することで、よりしなやかなIT社会の実現にソフトウェア技術が貢献する目的に沿うものです。
(参考：国民を守る情報セキュリティサイトに寄せたコラム)

OWASP Global AppSec APAC 2014カンファレンスに関する特筆すべき事柄

基調講演を行う山口 英氏は、元日本政府内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官を務められ、数々のセキュリティ戦略組織の創立と戦略構築をしてこられたことで知られています。また、OWASP Foundationの代表であるMichael Coates(マイケル・コーツ)氏も来日し、キーノートスピーチを行います。これまで開催された、世界中のOWASP Global AppSecでは登場がなかった、日本国内のIT業界の著名なスペシャリストによる講演やトレーニングが実現します。
先に述べた講演に加え、このたびのカンファレンスにおいて特筆すべきなのは、日本で企業・個人を問わず活用の多い「OWASP Top 10」の執筆者であるデイブ・ウィッチャース氏や、経営陣へのITガバナンス導入のスペシャリストでありOWASP CISOサーベイ＆レポートのプロジェクトリーダーであるトビアス・ゴンドロム氏、開発者向けのドキュメントへの多数の貢献で知られるジム・マニコ氏、また日本での経験も豊富なジェリー・ホフ氏など、欧米やアジアパシフィックエリアから、著名なOWASPのプロジェクト担当者が参加する機会であることです。
また、中立的な立場の発表者として、企業や機関から、すなわち国内企業ではSCSK、楽天、サイボウズやJPCERT/CCなどから、またヒューレット・パッカード、アカマイなどのグローバル企業から、これまでエンタープライズレベルで得た知見と、OWASP プロジェクトの成果物の活用の現場などが提供されます。これらスペシャリストによる20ものカンファレンス・セッションは、日英の通訳を提供する予定です。また、すでにソフトウェア・セキュリティに注目している300名以上の出席者が見込まれており、相互に充実したコミュニケーションを取る機会となります。

カンファレンスセッション・ハイライト

• 執筆者デイブ・ウィッチャースによる「OWASP Top 10 2013」
• 日本人リサーチャによる「日本におけるWebアプリケーション脆弱性の実態調査」
• WordPressのプラグインの脆弱性検査をリアルタイムに行うデモを含む、「次の大きな攻撃の波に準備しろ！：CMSシステムへのハッキング」
• モバイル・アプリ開発者にとって興味深い「Xcodeへのセキュリティ機能の拡張」や「HTML5時代の安全なエスケープ手法」
• 運営関係者は必見：「1 user, 10 places, 100 seconds」は、大規模なセキュリティログに関するアプローチを示す特別セッション

社会に安全なソフトウェアの価値を訴求ができる人材の拡大への取り組み

OWASP AppSec APAC2014では、社会に安全なソフトウェアの価値を訴求ができる人材の拡大への取り組みとして、ソフトウェア・セキュリティの世界で貢献する「女性」を応援するプログラム「Women in AppSec」を実施します。これは、女性がアプリケーションセキュリティの分野でスキルを磨く機会を支援し、より一層キャリアを向上することを支援する目的のものです。さらに、次世代のリーダーシップを担える学生に対する支援である「Students in AppSec」として、アプリケーションセキュリティ分野での積極的な学習を支援するプログラムも実施します。これらは、それぞれ、意欲ある方々のカンファレンスへの無償参加を提供するものです。

これらを通し、ソフトウェア・セキュリティに関する中立的かつ具体的な知見の共有に関し、日本のサービス提供者やエンジニアによる貢献が進むことが期待されます。新たに一層レベルの高い知見の共有がここ日本で行われ、またその成果がOWASP Projectに一層反映されていくことで、ソフトウェア・セキュリティ対応に関する国際的な連携も進むことが期待されます。このカンファレンスの開催は、日本のソフトウェア・セキュリティの普及啓蒙の観点では、これまで国際カンファレンスにあまり参加する機会に恵まれていない日本のソフトウェア・エンジニアにとって有効なものであり、史上初の日本開催となるOWASP AppSec APAC 2014は、極めて重要な里程標 – マイルストーンとなります。

AppSec APAC 2014へのエンドースメッセージ

AppSec APAC 2014に、以下の暖かいエンドースメッセージを頂いています。

本発表に関するお問い合わせ、カンファレンス取材のお申し込み先

OWASP Global AppSec Apac 2014実行委員会
メールアドレス： [email protected]
(以下詳細情報は省略)

OWASP Global AppSec APAC 2014オフィシャルロゴ