ウェブアプリケーションセキュリティ祭り
日本のウェブアプリケーションセキュリティのの祭典 WASForum Conference が今週末に開催されます。残席わずかで、そろそろ参加申込が締め切られそうなので興味のある方はお早目にどうぞ。
金曜はセキュリティ侵害の事件当事者の方々の講演もあり大変興味深いです。私は会議の都合で途中抜けなければならず、全部聞けないのが非常に悔やまれます。土曜日の方もウェブセキュリティの最新の動向などが聞けそうで楽しみにしています。
ウェブアプリケーションのイベントだけに申し込みがウェブからでできるようになったのはよかったのだけど、フィッシングサイトですらSSLが導入されるこの時代、EV-SSLでもなくオレオレ証明書でもなく生httpで勝負するところが自信が感じられて素敵です。
【イベント】
■7月4,5日、WASForum Conference 2008開催
http://wasforum.jp/conf2008/
■デファクトCIO、CTOに捧げる、WEBサイトの危機におけるガバナンスと品格
http://wasforum.jp/conf2008/74-cio-ct-day/
12:00開場 13:00スタート 17:00閉会
コンファレンススクエアエムプラス1Fサクセス(東京都千代田区、丸の内)
参加費用:5000円(税込)
13:00-13:15「Web Application Security Forum Conference 2008開催挨拶」
講演者:三井物産セキュアディレクション 佐々木博
13:15-14:00「CIOが為すべきITマネージメントとセキュリティ対策」
講演者:サイオステクノロジー株式会社 執行取締役 CTO 国内事業統括補佐 兼 OSSテクノロジーセンター長 山崎 靖之
14:00-14:45 「不正アクセス事件から学んだこと」
講演者:株式会社カカクコム 取締役COO 安田幹広
15:00-15:45「Web攻撃の脅威に立ち向かうには」
講演者:株式会社サウンドハウス 代表取締役社長 中島尚彦
15:45-16:30「インターネットとセキュリティに関する企業の責任 」
講演者:ライフネット生命保険株式会社 CIO 兼 システム部長 中川達彦
16:45-17:45 パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」
モデレータ: 株式会社 ユービーセキュア 目崎匠
パネラー:
サイオステクノロジー株式会社 山崎靖之
株式会社カカクコム 安田幹広
株式会社サウンドハウス 中島尚彦
ライフネット生命保険株式会社 中川達彦
奈良先端科学技術大学院大学 門林雄基
独立行政法人産業技術総合研究所 高木浩光
17:45-18:00 「Web Application Security Forum Conference 2008閉会挨拶 & 2nd Day 予告」
三井物産セキュアディレクション 佐々木博
株式会社テックスタイル 岡田良太郎
■7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス
http://wasforum.jp/conf2008/75-developers-day/
9:30開場 10:00スタート 17:00閉会
時事通信ホール(東京都中央区、東銀座)
参加費用:1000円(税込)
Morning Session:
今どきのWebセキュリティ
チェア: 独立行政法人産業技術総合研究所 高木浩光
10:00 – 10:30 EV SSLの意義と課題
有限責任中間法人 日本電子認証協議会 代表理事 秋山 卓司
10:30 – 11:00 SQLインジェクション対策再考
HASHコンサルティング株式会社 代表取締役 徳丸 浩
11:00 – 11:30 携帯電話向けWebのセキュリティ
グリー株式会社 取締役CTO 藤本 真樹
11:30 – 12:00 OpenIDのセキュリティ
サイボウズ・ラボ株式会社 山口 徹
Afternoon Session:
セキュリティ デベロップメント “ライフサイクル”:裏側と表側
チェア:マイクロソフト 高橋正和
13:00-14:00 セキュリティの作り込みはどのように行われているのか?
講演者:マイクロソフト 加治佐 俊一 CTO, ソニー 松並勝
14:00-15:00 Security Wars Episode III:
講演者:高橋郁夫弁護士
15:15-17:00 Webセキュリティのマルプラクティス 思い込みによるソフトウェアエラーをなんとかしろ
講演者:門林雄基、岡田良太郎
WASForumのokdtです。
> 生http
ぐは(汗
いえね、任意団体ってちゃんとしたSSL証明書とれないんです。厳密にはある会社のサービス使えばとれなくないんですけど、手をだしたくなるようなサービスじゃなかったり…。
あとね、申込後、控えをメールしますって書いてるわけで、てことは申込時の上流の通信路だけhttpsにしても意味ない訳で。
東西南北いろんなところから応援いただいています。
みなさまのお越しをお待ちしておりますよ。
okdtさん
コメントありがとうございます。
いろいろ難しいところはあるかと事情はお察しいたします。
まぁ「うちはショップじゃないんでとか、」みたいなもんですかね・・・。
> うちはショップじゃないんで
あー、うまいこと言いますね。
ていうより、「セキュリティ対策ってそこじゃないんで」
かな。
「セキュリティ対策ってそこじゃないんで」
そう言い切れるなら皆苦労しないんじゃないかと・・・。
「申込後、控えをメールしますって書いてるわけで」
とか、まあその控えに何の情報を含めるかみたいなところでセキュアなウェブアプリの設計センスが問われるわけですが。
そもそもこういって開き直れるなら、ウェブアプリケーションセキュリティフォーラムの存在意義って何?みたいなことになりませんか?
まぁ参加者の個人情報ぐらい平文でたれ流したところで大したことないって感じなのかもしれませんが。
> セキュアなウェブアプリの設計センスが問われる
おっしゃるとおりです。もうきちんと説明して書き込めばよかったですね。すみません。
いかなるアプリケーションも「目的を達成するための極めて合理的な動作」は何かということが欠落しては本末転倒になると思っています。
> 参加者の個人情報ぐらい平文でたれ流したところで大したことない
ちょっと悲しい表現だと思いますけど、、、
それがリスクだと思うかどうかはユーザの判断にゆだねられるよう、メールするということをあえて掲載してあります。