はじめに
今回のカンファレンス日程は例年同様、前半2日間が有償のトレーニングセッションとプロジェクトサミット、後半2日間は基調講演やセッションなどが組まれていました。本カンファレンスの参加報告は、CodeZineの記事で紹介しているOWASP Night19thにおいても行っており、資料はOWASP JapanのSpeakerdeckにアップロードしています。本記事では、OWASP Night19thでの報告内容と重ならないよう、特に開発者の方に関連深い内容をお届けします。
トレーニングセッション
トレーニングセッションでは、以下の2日間トレーニングと1日トレーニングが提供され、数多くの受講者が熱心に講義を受けていました。
トレーニングは有償で提供されるもので、セッション同様に公募から選ばれるため、多種多様なコースがレベルの高い講師陣から提供されるのが特徴です。また、OWASPプロジェクトの利活用に主眼を置いたトレーニングがあるのもThe OWASP Foundationが主催するカンファレンスならではといったところです。
| 種別 | 名称 | 概要 |
|---|---|---|
| 2日間トレーニング(22、23日) | Malware Crash Course | FireEye社のエンジニアによるマルウェア解析の方法論やマルウェア解析ツール(IDA ProやOllyDbg)を用いたハンズオン。実践することでマルウェア解析の手法を体得する。 |
| Advanced Android and iOS Hands-on Exploitation | AndroidアプリとiOSアプリが持つ脆弱性に対して攻撃演習を行う。攻撃の知識やスキルをアプリケーションのセキュアな実装に適用する方法を体得する。 | |
| Creating and automating your own AppSec Pipeline | 継続的インテグレーションにおけるセキュリティテスティングの提供を目的としているプロジェクト「OWASP AppSec Pipeline」のキーコンセプトや開発プロセスに適用する際に注意すべき点などを学ぶ。また、仮想環境を用いたハンズオンによりPipelineの構築からカスタマイズなどを実践する。 | |
| Hands-on Auditing of the OWASP Application Security Verification Standard | アプリケーションセキュリティ検査・検証の標準化プロジェクト「OWASP Application Security Verification Standard」とセキュリティ診断の際に利用するツールであるBurp Suiteを用いて、Webアプリケーションを検査・検証する方法をハンズオンで実践する。 | |
| OWASP Top 10 - Exploitation and Effective Safeguards | デモを通じてOWASP Top 10に示されている脆弱性を解説し、ハンズオンを通じて脆弱性のあるWebアプリケーションを防御する方法を体得する。 | |
| Security Designing and Developing with Popular MVC Frameworks | 一般的に知られているMVCフレームワーク(StrutsやSpringやASP.NETなど)の脆弱性の解説とデモを行うことで、MVCフレームワークを用いる際にセキュアな設計を行うことの重要性を学ぶ。また、セキュアな設計により脆弱性の作りこみを防ぐ方法を体得する。 | |
| 1日トレーニング(23日) | Hands-on Website Exploitation with Python | Pythonを用いてWebアプリケーションのセキュリティ診断を行う方法をハンズオンで実践する。 |
| Risk Management Like a Boss: Making Your Risks Work for You | OSSであるSimpleRiskを用いてリスクアセスメントを実施する。また、リスク管理の方法をハンズオンを通じて体得する。 | |
| Simple End-to-End App Security with AWS | AWSのセキュリティ機能を用いてWebアプリケーションを構築する方法をハンズオンで実践する。 |
