OWASP Global AppSec USA 2015報告
発表概要
The OWASP Foundationは、年に何度かAppSecカンファレンスを世界中で開催しています。本年は、6月にアムステルダム、9月にサンフランシスコで開催されました。中野渡さんより、サンフランシスコのハイアットリージェンシーホテルにおいて開催されたAppSec USA 2015の様子について報告いただきました。
本発表の資料はSpeakerDeckから閲覧いただけます。
AppSec USA 2015とは
前半2日間は、有料のトレーニングコースとOWASPプロジェクトサミット、また後半2日間は、キーノートスピーチや数々のセッション、そして1時間ごとのライトニングトレーニングからなる合計4日間のカンファレンスでした。3日目にはディナークルーズも催され、Webセキュリティ専門家同士、活発に交流がなされました。
今回のカンファレンスの記録は以下のとおりです。
- 参加者:1200人
- スピーカー:60人
- 基調講演:3セッション
- セッション:40セッション
- パネルディスカッション(Fireside Chats):4セッション
- トレーニングコース:9コース
- 1時間のトレーニングセッション:9セッション
AppSec基調講演
3つの基調講演の一つ、Facebook CSOであるAlex Stamosさんの講演についてご紹介いただきました。本講演では主に以下の提言がなされました。
- セキュアという言葉を人が聞くと身構えてしまうのでセーフティーという言葉を使おう。
- Webアプリケーションを作ったら、作った開発者自身がチェックしよう。
- "Stop whining" すなわち、文句を言うよりもまずはみんなで協力してセキュリティを高めていこう。
AppSecセッションの全体的な傾向
中野渡さんによると各セッションは、AppSec、Cloud、DevOps、Mobileの4つのトピックに分類されていましたが、DevOpsについては、AppSecのトピックに組み込まれつつあり、単独のトピックとしては3セッション程度と減少傾向にあったようです。これにより、セキュリティとDevOpsの融合が進み、DevSecOpsの考え方が浸透しつつある状況を実感したようです。なお、MobileについてはiOSよりもAndroidに関するセッションが多く、Androidに対するセキュリティ対策への興味が高まっているようです。
興味深い取り組み - Fireside Chats
中野渡さんが最もおもしろいと感じたイベントが紹介されました。これは、OWASPコミュニティの重鎮が2つのチームに分かれてあるテーマについてディスカッションし、最終的にどちらのチームの主張が優れているかを競う弁論大会のようなものでした。特に、明確に白黒つけられないような課題についての議論を戦わせるディベートの形式をとります。時々、登壇者からアメリカン・ジョークが連発され(その内容についてはいま一つ理解できないものが多かったようですが……)盛り上がったようです。筆者は、日本でもこのような方式でのイベントを開催するのはとても有意義なのではないかと感じました。
ライトニング・トレーニングセッション
1時間単位のトレーニングセッションの中から、OWASP Benchmarkプロジェクトとバグハンターに関するセッションが紹介されました。バグハンターのセッションの発表者はハッカーの祭典として名高い毎年ラスベガスで開催されるDefConにおける発表者であり、バグハント入門者に向けて以下の助言がなされました。
- バグハントの入門書としては「Hacker's Handbook」と「OWASP Testing Guide」が適している。
- バグハンターは「OWASP SecLists」を利用して効率的に情報収集している。
- 1つのサイトのハントに2時間も3時間も時間を費やすのではなく、30分ぐらいで諦めて他のサイトを調査するほうが効率がよい。
中野渡さんから次のAppSecは2016年6月27日からローマで開催されるAppSec EU 2016であることが紹介されました。それに関し、「バグハントでお金を稼いで参加すればいいのではないか」と会場にジョーク交じりに進言し、本スピーチは締めくくられました。なお、カンファレンスの各セッションについてはYouTubeに動画が公開されているものもあるため、ぜひ参照してほしいとのことです。
最後にOWASP Japanの岡田さんからは、海外セキュリティカンファレンスで発表するのは論文発表するのと同じくらい有意義であるとコメントがありました。
IETFとOSSと私
発表概要
PKI48所属の菅野さんから暗号/セキュアプロトコルの観点からIETFとOSSの関係を調べてみるというスピーチをいただきました。今回初めてOWASP Nightに参加されたため、いささか緊張気味とおっしゃっていましたが、大変興味深いものでした。菅野さんは、IETFに2008年から参加しているようです。
IETF(Internet Engineering Task Force)とは
IETFとは、通信プロトコルの標準化などを行っている団体です。ITU/ISOなどの他の標準化団体との違いは、ITU/ISOでは、まずは仕様を決めてから進めるトップダウン型であるのに対し、IETFでは先に実装を考えるボトムアップ形式であること。また、ボランティアベースであることから、スーツを着た人はあまりいなく、比較的カジュアルな雰囲気があるとのことです。
IETFで、暗号技術の話が盛んに取り上げられている理由は、2年前のIETF88においてPervasive Surveillance、すなわちPRISMに代表される大規模な盗聴について大きく取り上げられたことがきっかけです。その後、IETF93の発表では、かの有名なスノーデンさんがビデオ電話で登場し、会場は大盛り上がりだったようです。
最近では監視(Surveillance)対策をIETFで検討しており、Opportunistic Encryptionやそれに派生したLet's Encrypt、Anti-NIST、OpenPGPなど「政府反対派」が、なんでもかんでも暗号化しようという風潮になりつつあることを菅野さんからご説明いただきました。
IETEにおける暗号技術に関連するキーワードとは
菅野さんによると現在IETFでは以下の検討が主になされています。
- ChaCha20(RC4に代わるストリーム暗号)
- AEAD(CBCに代わるブロック暗号利用モード)
- New Elliptic Curves(NISTの楕円曲線に代わる楕円曲線)
- Opportunistic Encryption
- Perfect Forward Secrecy
- DJB
- Post Quantum
その中でも以下の技術はすべてqmail開発者として知られるDJBことダニエル・バーンスタインさんが考案していることから、いわゆるDJB祭りが開催中とのことです。
- 共通鍵暗号⇒ChaCha20
- MAC⇒Poly 1305
- 署名⇒EdDSA
- 楕円曲線⇒Curve25519
Heartbleedについて
2014年4月にCVE-2014-0160としてOpenSSLにおいて発見されたHeartbleedについて組織的な対応から振り返った考察をご紹介いただきました。Heartbeatは不要なのではないかという意見を無視した結果、あの脆弱性につながったとのことです。この脆弱性は仕様を策定している側とコーディングしている側の双方で止めることができたのではないかと菅野さんは分析しています。
今年の11月に開催されるIETF94は6年ぶり3度目の日本開催で、パシフィコ横浜で開催されます。学生の場合には無料で参加できる日もあるということで、可能なら参加してみるようにとの呼びかけがなされました。
