Cy-SIRT の伊藤です。 少しの間お休みをいただいて、数日前に職場復帰しました。
2014 年 03 月 20 日に APPSEC APAC 2014 にて講演いたしました。 このような貴重な機会を与えていただいた APACSEC APAC の関係者の皆様に、心より感謝いたします。
講演について
講演にて利用した資料は、以下のホームページにて公開いただいています。
原稿を作成する過程では、最初に日本語版のプレゼン資料を作成しました。 その後多くの皆様に校正をお手伝いいただき、 翻訳済みの原稿を作成しています。お手伝いいただいた皆様、本当にありがとうございました。
当日は翻訳済みの資料でプレゼンを行ったのですが、参加いただいた全ての方が日本人の方でしたので、 逆に分かりにくい状況となってしまい申し訳ありませんでした。 数名の方から、日本語版の資料に関するお問い合わせをいただきましたので、以下の URL で公開いたしました。
OWASP APPSEC APAC 2014 脆弱性ライフサイクル管理(日本語)
ISO/IEC 29147 および、ISO/IEC 30111 については、IPA 様が詳細な報告書をリリースされています。 大変分かり易い報告書となっておりますので、ぜひご参照ください。
「情報セキュリティ早期警戒パートナーシップにおけるグローバル化の課題と今後の方針調査報告書」などを公開
サイボウズも国際的な標準規格を活用した脆弱性情報ハンドリングを始めてまだまだ日が浅いですが、 諦めずに取り組んでまいります。
OWASP Cornucopia
OWASP APPSEC 終了後、Tobias Gondrom さんから「OWASP Cornucopia」というプロジェクトを紹介いただき、コンテンツを分けていただきました。
「OWASP Cornucopia」は Web サイトの開発者や運営者がセキュリティ上のリスクをゲーム形式で学べるようにすることを目的として、 Microsoft 様の「Elevation of Privilege (EoP) Card Game」をベースに 作成されているカードゲームです。 2014 年現在は e-コマースのウェブサイトを運営しているチームが直面するリスクについて収録された「Ecommerce Website Edition」が公開されています。
カードには OWASP が提唱する3つのセキュア開発 / 運用用向け資料の情報と、2つの汎用的なプロジェクトの情報が記載されています。
トランプとして遊ぶこともできますが、想定される脅威とその対抗策がまとめられていますので、 開発や試験におけるレビュー観点としても使えるのではないかと感じています。 チーム内で話し合った結論として、まずは各カードの解説を作ることから始めることになりました。 後日、何らかの形で公開できればと思います。