MBSDのWebアプリセキュリティセミナーに行ってきました

October 26, 2009 | Data base,Web Programming | Post by Tetsuya Nakanisi

中西です。お久しぶりです。
特に書けるほどのネタもなく、前回の記事より時間が空いてしまいました。
さて、去る10月23日に三井物産セキュアディレクションさん主催の「Webアプリセキュリティ教育講座」に参加してきました。
普段から作成するアプリケーションでもそれなりにセキュリティは気にしてはいますが、折角なので体系立ったノウハウを習得してみたいなーと考えたからです。
セミナー概要はこちら
https://www.mbsd.jp/event/detail126-desc.html


当日朝。流石に遅刻はしたくないのでちょっと早めに出発。
普段は自転車通勤なので通勤ラッシュがひさしぶりです。でも我が地元埼玉県の通勤電車に比べればなんてことはありません。潰れませんし必死に腕を突っ張らなくてもいいし。
目指す場所は三井物産本店のビルです。最寄りは地下鉄大手町駅だそうですが、東京駅からひと駅だけ地下鉄というのもなんですので東京駅から歩きます。
本店ビルに到着。正面受付で受講票を提示して入館許可証を貰います。
「MBSD」という紙を持った人が気になって、許可証貰わずにそっちに歩いて行ったら呼び止めらました(当然)。
講座は12階会議室で開催されるそうなのでエレベーターで12階へ。2-11階をすっ飛ばすエレベーターがあるのでそちらが便利。
しかし。かなり大きめなこのビル、12階全部が1つの会議室などというわけもなく。12階に到着して速攻で迷いました。
いやまあ、よく見たらそこここに「MBSDの講座はこちら」ってA4の紙が貼ってあるのですが。
受付完了メールやお知らせメールに「12階会議室」だけではなく「12階n号会議室」と書いておいて欲しかったかもしれません。
ほどなく該当会議室を見つけ、受付を済ませます。
ざっとその会議室を見てみると……どうやら全部埋まるっぽい。盛況ですねえ。
実はこの講座を紹介してくれたMBSDの方が「いやあどこに広報したものかよくわからないもので」とおっしゃっていたので受講者一桁だったらどうしようなどと失礼なことを考えていたのですが、本当にご謙遜だったようです。

10時より講習スタート。講師は@ITなどに記事を書いていらっしゃる国分さんです。
喋り慣れていらっしゃるようで、言葉はとても聞きやすい。
講習の内容にある個々の事項(クロスサイトスクリプティング、SQLインジェクション、CSRF、セッション乗っ取り、不用意なエラーメッセージ等)は知識としては知っているが実際にどんな攻撃がなされるのか、というのを知らないことも多いですね。
これを試験環境で実際に見せてくれたり実際にどのような被害が出ているかを例示してくれるのは非常にわかりやすいです。
内容は一々書くと膨大になりすぎるので省略します。是非次回の講座に参加して聴いてみてください。

お昼にはお弁当が出ました。おいしかったのですが、量的に少々物足りないものがありました。小食の人にはこれで丁度いいのかもしれません。
困ったのは昼休憩の過ごし方でしょうか。迂闊にも暇つぶし道具を何も持ってきていなかったのでどうしたものかと。
やたらにうろつくわけにもいかず(今思いついたのですが外に出てもよかったのでしょうかね)、ぼーっとして過ごしてみました。

午後からは午前の続き(攻撃手法の紹介と実演)と、各攻撃手法への対策の提示です。
これも膨大なので全部は書ききれませんが、自分が今作っているアプリはどうだったか、どうすれば堅牢にできるか、などと考えながら受講していると時間が経つのも早いです。
いくつか簡単に書くとセッション管理を使っていかにして攻撃をされづらい設計をするか、それを実装するときにどうしたらいいか、という所を主として扱います。
結果、要求定義・設計・実装に於いてしっかりやりましょうな感じになっていくんですが、
これも具体例と絡めつつ話してくれるので理解がしやすくてよいです。
何よりも危機管理意識に目覚めます。

そして16時半に講座は終わり、17時より理解度試験……
となるはずでしたが、時間押してます。17時過ぎても講座終わりません。
最後のほう少々駆け足気味で終了し、17:20より試験開始となりました。
内容的に省けるようなものもなかったし、この時間になるのは必然のような気もします。
試験は時間余るかとも思いましたが、残り5分あたりで全問終わりました。
それより20分程早くから終わっている人もいましたね。きっと情報処理試験なんかもさくっと解ける人なんでしょう。

そして1階で入館証を返却して退出。
非常に有意義な日となりました。
Webアプリを設計・開発している方は是非一度参加してみることをお勧めします。
なんと言いますか、普段の作業をするときの気の持ちようも変わってきますよ。
それに当然ながら設計・構築のノウハウとしても活用できます。

  • SBM: 
  • このエントリーをdel.icio.usに追加する
  • このエントリをニフティクリップに追加
  • このエントリをLivedoor クリップに追加
  • このエントリをFC2ブックマークに追加
  • このエントリーをGoogleBookmark に追加
  • このエントリーをTechnorati に追加
  • POOKMARK Airlinesへ追加
  • Saafブックマークへ追加
  • このエントリーをはてなブックマークする
  • このエントリーを含むはてなブックマーク

Trackback URL for Entry

http://blog.flatbit.co.jp/btlog/mt-tb.cgi/161

Comments

まだコメントはありません。よろしければコメントをどうぞ。

Post Your Comment

左のBOXに文字を入力してください→a

Tools

  • パスワードジェネレーター

Closed Calendar

2010年1月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

赤字がFlat Bitの休業日です。

Archives

Month
User
Category

Recent Entry

TAG

Music

iTunes Store(Japan) iTunes Store(Japan) iTunes Store(Japan)
iTunes Store(Japan) iTunes Music Store(Japan) iTunes Store(Japan)

Recent Comments

Conmpany&Service
  • Flat Bit
  • FLOG