WAS(Web Application Security)フォーラムのカンファレンスに参加してきた。
このカンファレンスは、毎年、非常に内容が濃い。また、(昨年度に引き続き)土曜の開催であることと、自費で参加できるレベルの参加費用であることから、会社で「セキュリティ」関連のミッションが与えられていない人でも参加しやすい*1。
メインキーワードは「携帯(特に、かんたんログイン)」と「OpenID」だったと思う。「異なるサービス間で、ユーザをどう識別し、どのようにユーザの情報を送受信するか」について、世界のインターネットが大きく動いている。日本のインターネットが方向を誤らないようにしたい。そういうメッセージを受け取った。
一参加者として「微力ながら貢献しなくては」と思うのだが、、微力すぎて、とりあえず自分のまわりから(スキルはマイペースで身につけていこう。あせらないあせらない)。
以下、各セッションごとの感想を*2。
オープニングセッション(門林 雄基氏)
ベストヒットは「まぜるな危険」。開発とOAで、端末を分けているところもあるが、調査結果などをコピペできないので、利便性がかなり低い(と感じている)。このセッション、もう少し盛り上がると思ったが、会場の雰囲気が意外と堅かった。
国民のためのウェブサイトを運営するID認証の舞台裏 (松岡 泰三氏)
実際のタイトルは違っている。Yahoo!の取り組みが興味深い。認証3兄弟は、(1)ログイン履歴、(2)ログインアラート、(3)ログインシール、うち(3)しか知らなかった。。特に(1)は、他のサイトでもやってほしい。「リスクベース認証」は、なるほど、面白いアイディアだと思う(リスク判定のエンジンをどう作成するかだが)。
OpenIDのモバイル対応(崎村 夏彦氏)
非常によい刺激になった。「アイデンティティとは」から始まり、OpenIDの仕組み、動向、モバイル対応、そして直近で議論することまで、短時間で多くを聞くことができた。一部よく理解できない箇所はあった*3が、、キーワードだけは拾えたので、後で調べる。いや、ちゃんと頭のよい人が検討してくれている。自分のまわりでは、このような情報を橋渡しできる人材が不足しているのが明らか。業界内での競争力(ひいては国際競争力)をつけたければ、このあたりは会社として(日本の企業としても)狙っていかないと。開発の現場とのギャップを大きく感じたセッションだった。
ケータイ2.0が開けてしまったパンドラの箱(徳丸 浩氏)
ockeghem's blogなどのブログを拝見させていただいている。スマートに成果が出てきている印象だったが、話を聞くとずいぶんと印象が違う。生々しい。色々な携帯電話の機種を貸してくれる部屋にこもって、たくさんの機種でテストをしたことがあるが、「仕事でなければ絶対にやらない」と思ったことがある。個人でやるのはすごい。「機種ごとのブラウザの仕様をダウンロードした」と発言があったが、今は公開されているのか*4。
どうするケータイ認証(高木 浩光氏)
ブログを拝見させていただいている。かんたんログインの(および、そもそもの)問題の「集大成」という印象。ぜひ資料を公開いただきたい*5。非常に熱く、目線の高いセッションだった。
OAuthとWEBサイト運営のエコシステムに潜む罠(上野 宣氏)
キーワードは「OAuth」。わかりやすいプレゼンテーションだった。「どう説明すれば、みんなにわかってもらえるか」という観点で、大変役に立った。
“Web2.0”におけるセキュリティ(吉濱 佐知子氏)
IBMの東京基礎研究所、かっこいいなぁ。セッションの内容は「脅威の集大成」といった感じ。素晴らしい内容だっただけに、マニアックなXSSの手法はCheat Sheet参照で、後半部分もゆっくり聞きたかった。正直、XSSを完全に防ぐために、どうしたらよいかはわからない。ただ、「カンマ区切りの形式なのに、カンマをエスケープする仕様を検討しない人」や、「ダブルクォートが文字列の開始、終了を表すというのに、そこにエスケープなしでダブルクォートを出力してしまう人」などを注意するだけ。
SDL脅威分析の方法とWindows Live IDにおけるアプローチ(Jiong Lu氏)
途中までで時間切れ。SDL、かなり興味がある。具体例をたくさん聞きたかった。通訳、すばらしかった。
