【開催レポート】セキュリティセミナー


2016年3月25日(金)に星野リゾートアルツ磐梯スキー場にて開発者向けセキュリティセミナーを開催しました。このイベントは、3月26日(土)~27日(日)に開催されるIoT & Security Hackathonのプレイベントとして実施されました。

seminor_018

今年で5回目を迎えるHackathonですが、一般的にHackathonは週末など決められた短い時間でラピットプロトタイプを制作しなければならないため、セキュリティを考慮せずに開発を進めるチームが見受けられます。Medical × Security Hackathon(本年よりIoT & Security Hackathonに改名)は、主にソフトウェア等の脆弱性調査を行うセキュリティ部門があることを特徴としています。同じHackathon会場でセキュリティの脆弱性調査をしているにも関わらず、アプリ部門で開発しているものにセキュリティの配慮がされていないのは大きい問題だと考え本セミナーの企画が始まり、このようなアプリ部門とセキュリティ部門の溝を埋めるため、セキュリティを専門としないエンジニア向けのセキュアコーディングを学ぶ有料セミナーとして今回初めて開講し、限定10名のところ追加1名を加えた11名のシステム開発者がIPA、Owaspをはじめとする日本のセキュリティのトップクラスの講師陣から半日に渡るトレーニングを受けました。

来年以降もblack hatコンファレンスのブリーフィングのようにハンズオン形式でこのようなセキュリティバイデザイン、セキュアコーディングのトレーニングを行なっていく予定です。

seminor_018.jpg

13:00から10分間のオリエンテーションを終えた後、渡辺 貴仁様(※1)と大道 晶平様(※2)による、「脆弱性情報届出制度」紹介と発見者・開発者・運営者の心得。脆弱性情報を適切に流通させるために必要な事項について、発見者・ソフトウェア開発者・ウェブサイト運営者の各々の観点から期待する点や留意点を互いの立場の違いなどについて解説をいただきました。

seminor_017
seminor_02
seminor_04
seminor_05

次に岡田 良太郎様(※3)による「セキュア開発の敵」。日本では広く当たり前のように行われているセキュリティ対策が、開発の現場にはどういった影響を及ぼしているのか、また、どのようにすればセキュア開発を円滑に推進出来るのかといった、新しい切り口でのセキュリティ向上のアイデアを紹介していただきました。

seminor_011
seminor_012

最後は園田 道夫様(※4)による「Webアプリケーションセキュリティの基礎」。脆弱性を持つWebアプリケーションを題材に、実際に攻撃というものの実体に触れつつ具体的な対策についてお話いただきました。

seminor_016
seminor_015

後半はハンズオンとして仮想環境を使った演習を行いました。参加者は実際に自分の手を使いWebサイトの脆弱性について関心を深めました。

seminor_08
seminor_010
seminor_014

競技の前にエンジニア視点でのセキュリティの重要性について、学ぶことができるセミナーとなりました。

 

講演者等紹介

(※1)渡辺 貴仁 独立行政法人情報処理推進機構(IPA) 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 主任研究員
(※2)大道 晶平 独立行政法人情報処理推進機構(IPA) 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 脆弱性分析エンジニア
(※3)岡田 良太郎 Owasp Japan代表
(※4)園田 道夫 サイバー大学教授 / 情報処理推進機構(IPA) 非常勤研究員 / SECCON実行委員ほか

(一部敬称略)

【開催レポート】IoT × Security Hackathon 2016 -1日目- へ
【開催レポート】IoT × Security Hackathon 2016 -2日目- へ