コンクリートファイブジャパン 菱川です。
2016年2月27日に開催された、OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2016 Springに参加してきました。少し遅れましたが参加レポートをお届けします。
パナソニックの製品セキュリティの取り組みに関して
家電製品をインターネットにつなげる歴史は意外と長いんだなと思いました。HTML の設定画面にネットワークからアクセスする場合は、Web アプリケーションと全く同じ脆弱性への対策が必要になります。しかし、物理的なデバイスがユーザーに渡るため、インターネット以外の通信からのコマンドインジェクションや、基盤に直接アクセスされることによるリバースエンジニアリングなど、対策はほかにも様々なものが必要になるとのことです。
そして、これらのセキュリティ対策が必要なのは、昨今もてはやされている IoT でも同じ!Amazon など各社が IoT のためのサービスを開始し、参入障壁が下がっているなか、弊社でも concrete5 とサイネージの連携といったご相談も受け始めていますが、先行する家電メーカーの知見から学び、IoT の世界でもセキュリティには十分に対策したいものです。
IoT開発現場のセキュリティ課題。セキュリティ診断やリスク分析手法の標準がないので診断内容や対策のムラが大きい。 #owaspjapan
— Takuro Hishikawa (@HissyNC) February 27, 2016
一般企業のセキュリティエンジニアが警察として1年間働いた話
神戸デジタルラボに勤務する久野さんが兵庫県警サイバー犯罪対策課の警部補として働いたというお話です。警察の方もこのような専門知識を学んでいるのかと思うと、大変なお仕事だなと思いました。
神戸デジタルラボ三木氏によるセッション
告知にはなかったのですが、一番ためになったセッションでした。神戸デジタルラボが取り組んできた特徴的なインシデントを紹介され、企業規模の割にシステム部門が小さい、システムが軽視されている企業など、様々な現場の事例は大変参考になりました。
いくらセキュリティの重要性を技術的に理解しても、そこにコストが発生する以上、組織が、人間が動かなければ実際の対策には至らない。経営層の意識が低いのも問題だが、一方では空気を読んで提案しない担当者も。結局お見合いになってしまい、これではいつまでたってもセキュリティ対策はできません。まず、自社の課題に気づいた担当者から、セキュリティ対策の提案書を作って上にあげること。下りてくるのを待っていては、責任を取らされるのが結局担当者です。と、参加していたエンジニアに向けて、自ら予算にすることの重要性を説いておられました。
弊社も concrete5 の保守サービスをご提供しています。CMS を安全に利用するために、最も効果があり、さらにセキュリティ対策以上のメリットもあるのが「バージョンアップ」です。我々もクライアント様のご予算に応じて提案したりしなかったりしがちだったのを反省し、必ず弊社の保守サポートをご案内するようにしたいと思います。
ホスティングの中の人 セキュリティ座談会
エックスサーバー株式会社、NTTスマートコネクト株式会社、カゴヤ・ジャパン株式会社、株式会社KDDIウェブコミュニケーションズ、さくらインターネット株式会社、ファーストサーバ株式会社というそうそうたるメンバーが集まった座談会で、ホスティング事業者の生々しい声が聞けた興味深い催しでした。
ホスティング事業者セキュリティ座談会。各社WordPressには特別な対策をしている。 #owaspjapan
— Takuro Hishikawa (@HissyNC) February 27, 2016
共有サーバーで今一番使われているアプリケーションは間違いなく WordPress だと思いますが、各社 WordPress への攻撃対策に知恵を絞っているようです。ユーザーがバージョンアップすればいいという話ではあるのですが、なかなかしてくれないでしょうから、WAF など攻撃をブロックする仕組みを導入したり、海外からのアクセスをブロックしたりしているようです。
あとは、「この価格にそこまで求めるのか?」という言葉がちらほらと…。ユーザーさんが、セキュリティ対策にもコストがかかることを理解していない、「安全で当然」だと思われている。蛇口をひねれば水が出てくる日本では、インフラ全般に対してコスト意識が非常に低いのかもしれません。
企業側にもリスクを直視し、必要なセキュリティ対策とは何かを理解していただきたいと思いますし、我々も必要なご提案ができるように、日々情報収集に努めたいと思います。