3月にプレスリリースしたとおり、WEB Application Security Forumというフォーラムを立ち上げました。発起人としての意図や意向については、おおよそプレカンファレンスの報道のとおりです。「情報を安全に扱う」ということがビジネスの発展に直接関係することを認識してくれた企業がたくさんスポンサーになってくださっています。WEBセキュリティに関する情報は、非常に独占しにくい種類のものですから、支援の気概は敬意に値します。
さて、日経BPイベントのサイトでも大々的に告知しているとおり、第一回のカンファレンスを5月25日火曜に開催します。ビジネスストラテジの観点、設計思想の観点、技術実装の観点、はたまたセキュリティを踏まえた契約や価格交渉の観点まで扱われるのは他に例を見ないのではないかと思います。1日でできることには限界がありますが、ここまで突っ込めると参画しがいがあるというものです。
わたしの枠は、「LAMP環境で構築するセキュアWebアプリケーション概論」となっています。サブタイトルがカットされてしまっているので内容が見えにくいと思いますが、オープンソース関連であること、構築技術の話であること、連続モノであることが連想してもらえれば幸いです。今回は第一回として「ユーザIDによるログイン」をセキュリティ的にブラッシュアップする話の予定です。60分なので、いつものマクラはほどほどに、いきなり本題に入ります(w
資料収集などを行なっていて気がついたことは、情報が散乱だけでなく、非常に概念的な話でブレイクダウンしにくいもの、その逆でスクリプトまで書いているのに実に不十分かついいかげんなものなどが見受けられるということです。たとえば、OWASPが最近公開したペネトレーションテストチェックリストは興味深いんですが、実装までブレイクダウンするには遠すぎます。またDevShedのCreating a Secure PHP Login Script という記事は、突っ込みが浅すぎてSecureではありません。日本語で提供されている、わかりやすい資料は存在していないようにさえ見えます。
セキュリティに関しては、どこまでやれば十分なのかというハナシがついてまわりますが、いずれにしてもセキュリティを強化するにしても緩和するにしても、知ってて行なうのとそうでないのとでは全くリスクテイクのアプローチが異なります。いずれ、WEBセキュリティに関する情報を統合したサイトを作りたいと思っていますので、協力してくださる方(個人、スポンサー)はぜひ一報ください。
これまでは、とかく「岡田氏(okdt)の話はあちこちで聞けるからいいや」といわれがちだったのですが、浅く広くならともかく、深く掘り下げるとなるとそうはいかない。そこにきて、連続して情報発信を行なっていける本フォーラムでは、深めの内容で体系的にやっていこうと思っています。そう、体系だった連続モノは(コンサルティング業は別にして)このような連続でのスピーチが可能なところでしかできません。そういう観点では、ロングスパンでは、Internet Weekも今後その色をもっと強めたいと思っています。
p.s.
招待券をゲットしたので、OSBR会員、TechStyle Newsletter購読者に、各々提供したいと思います。この機会にご登録をどうぞ。
また、「行くからokdtの招待ということで割り引いて/宣伝するから招待して!」という方がおられれば、ご一報くだされ。
p.s.2
情報セキュリティEXPO(2004/7)でも新ネタ披露です。やっぱWASは専用サイトつくんなきゃダメだな。
3 comments:
コメント機能もつきました(笑
OWASPのTopTenの和訳をJeff Williamsさんに送付しました。AppSec 2004 NYC終了後に公開予定です。
guideも翻訳するつもりです(2.0がリリース後)。
お知らせした方がいいかと思いまして、コメントしました。
ぜひお手伝いさせてください。
Post a Comment