2016年2月10日
2016年2月10日
2016年2月10日(水)
セキュリティ コラボレーション 2.0
OWASP Japan / Promotion Team Leader
仲田 翔一
誤解を恐れずに申し上げると、私はセキュリティ”業界”という閉じた括りが嫌いだ。サイバー攻撃に伴う情報漏えいやサービス停止などが毎日のように紙面やテレビを賑わしており、セキュリティリスクはビジネスリスクであるということを認識せざるを得ない状況になっている。
したがって、セキュリティ専任者に加え、開発者、ITアーキテクト、プロジェクトマネジャー、ひいては、経営者といったウェブアプリに携わる全ての立場の方がセキュリティを高める努力を強いられているといっても過言ではない。そのため、さまざまな立場の方とセキュリティに関する交流を深める必要があると感じている。
この考えに至ることとなったきっかけは、私がユーザ企業のセキュリティエンジニアであったときに所属していた組織にある。
私が所属していた組織では、ウェブアプリのライフサイクルにおける工程ごとに、担当部門が縦割りに寸断されていた。具体的に言うと、要件定義は企画部門、設計・開発は開発部門、テストは品質部門、脆弱性検査はセキュリティ部門、運用はインフラ部門という具合である。そのため、工程間をまたいだコミュニケーションは希薄であり、Security by Designの考えを全く踏襲していないウェブアプリを私が所属していたセキュリティ部門における脆弱性検査工程で目にするということが多々あった。
結果として、脆弱性検査において多くの脆弱性を検出し、セキュリティ部門の工数は増大した。また、開発部門においては、影響範囲の大きな脆弱性については設計工程まで手戻り、再設計、再開発を強いられることもあった。改めて振り返ってみると誰も幸せな状態ではなかったと感じている。設計工程において事前に少しでも開発部門とセキュリティ部門とがコミュニケーションをとれていれば、誰もが得しない事態が発生するリスクを低減できたのではないか。
このような経験を通じて、以下2点を実現したいと強く思うこととなった。
- それぞれの立場の方がその立場に応じたセキュリティの考え方を理解できるようになること
- 各立場の方が集まって横断的にセキュリティ対策について議論できるようになり、効果的・効率的にセキュリティを高められるようになること
セキュリティ専任者だけがセキュリティについて議論できればよいこれまでの時代、すなわちセキュリティコラボレーション1.0から、全ての立場の方がその立場に応じたセキュリティについて語ることができる時代、すなわちセキュリティコラボレーション2.0の実現である。
さて、本業ではセキュリティ”業界”から距離を置いた今の私であるが、OWASP Japanにおいてセキュリティに携わり続けている。
OWASPはOpen Web Application Security Projectの略であり、ウェブセキュリティの重要性を広めることを目的に活動するオープンコミュニティである。日本においては本稿公開時点でOWASP Kansai(大阪、京都、神戸)、OWASP Kyushu(福岡)、OWASP Sendai(仙台)そして主に首都圏から全国をサポートするOWASP Japan(首都圏)という4つの地域で勉強会の開催や成果物の作成などを行っている。
OWASPコミュニティの代表的な成果物として、「OWASP Top10日本語版[1]」が挙げられる。これは、ウェブアプリにおける重要な脆弱性やその脆弱性を作りこまないようにする方法が示されており、ウェブアプリに携わる全ての方の共通言語として利用可能な成果物である。
他にもウェブアプリにおけるセキュリティ要件策定時に活用可能な「ウェブシステム/ウェブアプリケーションセキュリティ要件書[2]」や、自組織がどのレベルにありたいか設定した上で、その設定を満たすために何を実装する必要があるかを定義した「OWASP ASVS[3]」、設計・開発時のリファレンスとして活用可能な「OWASP Cheat Sheet Series[4]」、セキュリティ専任者、非専任者問わず脆弱性検査を実施可能な「OWASP ZAP[5]」、利用しているオープンソースソフトウェアにおける既知の脆弱性有無を確認可能な「OWASP Dependency Check[6]」など、要件定義から設計、開発、運用に亘り活用可能な豊富なドキュメントやツールがOWASPコミュニティから公開されている。もちろんこれらは全て無料でご利用いただける。
これらの成果物やOWASPコミュニティの勉強会を通じて、ウェブアプリに携わるさまざまな立場の方と交流してみてはどうだろうか。まずは身内でOWASP Top10を眺めることからはじめてもいいだろうし、OWASP Top10を片手に他部門の方に話をしにいくのでもいいかもしれない。このような交流が、ウェブ全体のセキュリティレベルを底上げし、「ウェブをたしかなもの」にすることができると私は確信している。「ウェブをたしかなもの」にする一助としてOWASPコミュニティの成果物や勉強会が貢献できれば幸いである。誰とでもセキュリティに関する議論ができるセキュリティコラボレーション2.0がいち早く到来することを願っている。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月10日(水)
若手セキュリティエンジニア!?の集い
JNSA U40 部会 / 富士通エフ・アイ・ピー株式会社 情報セキュリティセンター
長澤 駿
初めに簡単に自己紹介を。
私は新卒で入社以降、社内のセキュリティ対策部門にて、システムの脆弱性検査や監査、社内セキュリティ教育等に携わってきました。
それと並行して、日本ネットワークセキュリティ協会(JNSA)のU40部会へ参加し、現在部会長をしています。
こういった機会をいただけたので、JNSA U40部会の活動を紹介します。
U40部会とはその名の通り、40歳以下の方限定の部会となっています。(タイトルにあります通り、40歳以下が若手なのかというツッコミはご容赦ください。)
現在「情報セキュリティ人材の不足」といったワードを各所で耳にしますが、U40部会発足当時からJNSAでは若手と言われる年代の方が少ない状況でした。その中、U40部会は、セキュリティ業界の若返り、交流を目的に発足されました。
U40部会では勉強会WG、ラボネットWGの2つのWGが活動しています。
勉強会WGではJNSA内外問わず、様々な方に講師をお願いし、勉強会を開催しています。講師の方は第一線で活躍している超豪華な面々なのですが、「U40部会ならいいよ」とお忙しい中、お引き受けいただいています。U40部会の勉強会では講師の方にそれまでの職歴や経歴等もご紹介いただいています。これは勉強会に参加している若手セキュリティエンジニアのキャリア形成に参考になればと思っての活動です。
ラボネットWGは、「若手があまり実機を触る機会がない」「失敗や検証をする場がない」という意見から生まれました。ラボネットではサーバやネットワーク機器などの検証機器を使用し、Web UIを持つ電化製品に攻撃ツールをかけてみる、ウイルス対策ソフトの検証など、手を動かす活動を中心に行っています。
最後に私がU40部会に参加してなにより有益だったことを紹介します。
情報セキュリティの分野は特性上、ステークホルダーへの理解がなかなか進まないことや、社内の相談相手がいないといったことがあります。こういった場面でU40部会のように年齢の近い同業者の知り合いが多いということは力になります。悩みを相談し共感が得られることもあれば、周りの方の活躍に良い刺激を受ける事も多々あります。
簡単にJNSA U40部会を紹介させてもらいましたが、情報セキュリティ人材の育成に少しでも助力となることを願っています。
JNSA U40部会にご興味を持たれた方はお気軽にご声掛けください。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。