Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

OWASP AppSec USA 2015カンファレンスレポート:「アプリケーションセキュリティの最先端情報が集結」

OWASP AppSec USA 2015@サンフランシスコ

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2015/12/18 14:00

 2015年9月22日から9月25日の4日間にわたり、Webアプリケーションのセキュリティに関する国際カンファレンスである「OWASP AppSec USA 2015」が米国サンフランシスコで開催されました。世界各国から開発者や研究者が一堂に会する本カンファレンスに参加してきましたので、その魅力的な内容について報告します。

目次

はじめに

 今回のカンファレンス日程は例年同様、前半2日間が有償のトレーニングセッションとプロジェクトサミット、後半2日間は基調講演やセッションなどが組まれていました。本カンファレンスの参加報告は、CodeZineの記事で紹介しているOWASP Night19thにおいても行っており、資料はOWASP JapanのSpeakerdeckにアップロードしています。本記事では、OWASP Night19thでの報告内容と重ならないよう、特に開発者の方に関連深い内容をお届けします。

トレーニングセッション

 トレーニングセッションでは、以下の2日間トレーニングと1日トレーニングが提供され、数多くの受講者が熱心に講義を受けていました。

 トレーニングは有償で提供されるもので、セッション同様に公募から選ばれるため、多種多様なコースがレベルの高い講師陣から提供されるのが特徴です。また、OWASPプロジェクトの利活用に主眼を置いたトレーニングがあるのもThe OWASP Foundationが主催するカンファレンスならではといったところです。

図1 トレーニングセッションの様子。レベルの高い講義が行われていました
図1 トレーニングセッションの様子。レベルの高い講義が行われていました
表1 OWASP AppSec USA 2015で提供されたトレーニング
種別 名称 概要
2日間トレーニング(22、23日) Malware Crash Course FireEye社のエンジニアによるマルウェア解析の方法論やマルウェア解析ツール(IDA ProやOllyDbg)を用いたハンズオン。実践することでマルウェア解析の手法を体得する。
Advanced Android and iOS Hands-on Exploitation AndroidアプリとiOSアプリが持つ脆弱性に対して攻撃演習を行う。攻撃の知識やスキルをアプリケーションのセキュアな実装に適用する方法を体得する。
Creating and automating your own AppSec Pipeline 継続的インテグレーションにおけるセキュリティテスティングの提供を目的としているプロジェクト「OWASP AppSec Pipeline」のキーコンセプトや開発プロセスに適用する際に注意すべき点などを学ぶ。また、仮想環境を用いたハンズオンによりPipelineの構築からカスタマイズなどを実践する。
Hands-on Auditing of the OWASP Application Security Verification Standard アプリケーションセキュリティ検査・検証の標準化プロジェクト「OWASP Application Security Verification Standard」とセキュリティ診断の際に利用するツールであるBurp Suiteを用いて、Webアプリケーションを検査・検証する方法をハンズオンで実践する。
OWASP Top 10 - Exploitation and Effective Safeguards デモを通じてOWASP Top 10に示されている脆弱性を解説し、ハンズオンを通じて脆弱性のあるWebアプリケーションを防御する方法を体得する。
Security Designing and Developing with Popular MVC Frameworks 一般的に知られているMVCフレームワーク(StrutsやSpringやASP.NETなど)の脆弱性の解説とデモを行うことで、MVCフレームワークを用いる際にセキュアな設計を行うことの重要性を学ぶ。また、セキュアな設計により脆弱性の作りこみを防ぐ方法を体得する。
1日トレーニング(23日) Hands-on Website Exploitation with Python Pythonを用いてWebアプリケーションのセキュリティ診断を行う方法をハンズオンで実践する。
Risk Management Like a Boss: Making Your Risks Work for You OSSであるSimpleRiskを用いてリスクアセスメントを実施する。また、リスク管理の方法をハンズオンを通じて体得する。
Simple End-to-End App Security with AWS AWSのセキュリティ機能を用いてWebアプリケーションを構築する方法をハンズオンで実践する。

  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • 中野渡 敬教(OWASP Japan)(ナカノワタリ タカノリ)

    某OA機器メーカーにてセキュリティ・マネジメントやソフトウェア開発を行いつつ、 Web やプログラミング言語に触れるのを楽しんでいる今日このごろ。 OWASP Japan アドバイザリーボード、Hardening Project 実行委員、CISSP。

バックナンバー

連載:OWASP Nightイベントレポート
All contents copyright © 2005-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5