OWASP Nagoya、これまでタイミングが合わなかったのですが、やっと初参加です。
上野 宣さんとはせがわ ようすけさんの組み合わせというと、私が社外の勉強会に参加するきっかけとなった、2014年4月開催の「第05回名古屋情報セキュリティ勉強会 + セキュリティ・ミニキャンプ in 名古屋 2014」と同じでした(2014 年のときは、ほかに masato kinugawa のセッションもありました)。
今回、個別に感想等は書きませんが、全体を通じて割と平易な内容だったと思います。
社歴の短い若手を連れて行けばよかった…と思いつつも、ハラスメントになりかねないので誘うかどうか、どうしても慎重になってしまいます。
何の予備知識もない状態で参加すると「???」だったと思いますが、Web アプリケーションを書いている人なら理解は容易だったかと(逆にインフラオンリーだと厳しかったかも)。
そんな中で、はせがわさんが脆弱性診断を受託したときの「委託側とのすれ違いから生じるトラブル」が面白かったです。
- 開発が間に合わず、現場からは開発途中のものの脆弱性診断を求められた(が、意味があったのだろうか…)
- メール通知機能を試すときに自分(自社)のメールアドレスを入れたら通知メールの嵐がやってきた
- EC サイトで試しに商品を購入してみたら、カード決済がそのまま通って実際に商品が送られてきた
などなど、「あー、ありそう」だけど実際にあると「えっ…?」となりそうな事例が多数。
特に、組織規模が大きくなると、紹介された事例のうちの一部は受託ではなく自社サービスの診断でも発生しうる話なので、自分も気を付けたいです。
クラウド事業者への届出や禁止事項など、うっかりすると大変なことになりますし。
※この点にしか触れていないので上野さんのお話がつまらなかったかのように誤解されそうですが、主要な脆弱性の種類や検査方法等を順に説明されていて、わかりやすくて良い内容でした(詳細を知りたい方は上野さんの著書を参照、ということで)。
さて…次(22日)は久々の名古屋情報セキュリティ勉強会。法律の話のようなので、こちらも面白そうです。
