セッション名
Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
セッション概要とポイント
スマートフォンは非常に複雑なシステムになっているため、テスト漏れによって出荷後にバグや脆弱性を修正するためのパッチをリリースすることでシステムを安全な状態に保つことが当たり前になっていますが、脆弱性の検証を継続的に行わなければ安全な状態を維持することが難しいです。
開発者は、用いる技術やコンポーネントの仕様を十分に理解し、検証を重ねた上でコードに落としていくとはいえ、コーディングガイドラインを厳密に適用するだけでは回避できない問題もあることを本セッションの事例から学ぶことができます。
セッションで得られること
システムに組み込まれている特定のサードパーティコンポーネントを利用するためのプログラムコードは多くの場合サンプルコードに手を加えるだけ。動作すればいいと思うかもしれませんが、多くの脆弱性は、セキュリティの観点が抜けた開発者や、テスターによって見落とされ、製品は悪用可能な脆弱性を抱えたまま出荷されることになります。
このセッションでは、具体的な脆弱性の事例と、どこに問題があったのかを理解することで、新しい技術やコンポーネントを利用する際に注意すべき点が見えてきます。
登壇者プロフィール
松岡 正人
日本シノプシス合同会社
ソフトウェア・インテグリティ・グループ
シニア・プロダクト・マーケティング・マネージャ
新潟県立長岡工業高校電気科卒。組込み含む元ソフトウェア開発者でサイクリスト。 日本ラショナルソフトウェア、日本マイクロソフト、カスペルスキーを経て2019/7より現職。 主に制御システムや組込みソフトウェア開発を経験したのち外資系で組込み開発やサイバーセキュリティビジネスに携わる。直近では2年越しで公開された、JPCERT/CCのIoT機器の開発者向けセキュリティガイドライン「IoTセキュリティチェックリスト」、Flexible Factory Security Guidelines(英日)の策定に参画、セキュリティキャンプ講師など。JNSA IoTセキュリティWGリーダー、ASTER(ソフトウェアテスト技術振興協会)理事。
Developers Summit 2020 Summer
- テーマ:デベロッパーが推進するDXと開発プロセスの変革
- 会期:2020年7月21日(火)10:30-18:05
- 参加費:無料(事前登録制)
- 会場:オンライン
- 主催:株式会社 翔泳社
- 詳細・申し込みはこちら
