アスタリスク・リサーチ エグゼクティブ・リサーチャ
　　　　　　　　　OWASP Japan リーダー
岡田 良太郎

皆さん、こんにちは。

私の本業は、システムをセキュアに開発するのに助けになるツールやサービスを提供したり、開発リーダー・トレーニングや、PSIRT（プロダクトのセキュリティ対応チーム）コンサルティングなどを通して、さまざまなプラクティスの実践をお手伝いしています。経営陣の皆さんに最近の情勢についてブリーフィングを行うこともあります。いろんな人が集まる場が好きなので、本業のかたわら、OWASP、Hardening Projectなどなど、コミュニティベースの活動も推進しています。

さて、セキュリティといいますと、サービスやらアプリやらの弱点を悪用されてデータが盗まれたり、改ざんされたりとか、とかく後ろ向きなことが話題にはなりやすい。ですが、そうだからといって、やはり事業、ひいては社会のためには、じゃんじゃん新しいものを作るのを躊躇するような世の中にはなって欲しくありません。

技術の進歩によりアプリケーションはずいぶん安く早く作りやすくなりました。
とはいえ、当然ながら、システム構築ができるエキスパートでも、セキュリティに詳しい人はそんなに多くありませんので、新しいものを作りながら、同時に適切な対策を施すなんてことは結構大変でしょう。弊社のお客様には、皆さんがよくご存じの企業もありブランドのプレッシャーも少なくないですが、それでも、その中のチームや個々の人は、それぞれ本当に真剣に、試行錯誤、創意工夫しながら取り組んでおられます。

事業もさまざまであれば、システムもさまざま、開発言語もさまざまです。
では、どうやって個々のプロジェクトは、自分たちのリスクからみて必要かつ現実的な対策を施していけば良いのでしょうか。あるいは、いちいち面倒なことをそれほど考えなくても、安心して作る手法はあるのでしょうか。同じ問題を解決する複数の手法があるとき、どうやって決めるんでしょうか。

未知の問題に直面した場合、大抵の人はインターネットを検索します。どんな「キーワード」で検索したら良いのでしょうか。キーワードは、独特の専門用語だったり、技術ツールの名前だったり、あるいは団体とか企業の名前だったりします。たとえば、「オワスプ」というコミュニティや「シフトレフト」というコンセプトがいいですよ、などと言いたいところなのですが、それ、知らないと、検索もできないですよね。

「それ、どうやって検索したの？」って話です。

１０年以上前のことになりますが、インターネットサービスのCTOをやっていたある友人から、インターネット検索エンジンの理論についての読書会をやっていると聞きました。はてさて、検索の理論かあ、それについて調べるにはどうしたら良いかな、と。なぜかって、「検索」という言葉はどんなサイトにもありますし、ともかく一般的すぎるからです。

そこで尋ねると、彼は、"Information retrieval"という言葉があるんですよ、と教えてくれました。日本語では、「情報探索」とか、いまひとつぱっとしない言葉になるんですが、とにかくこのキーワード "Information retrieval"を知ったおかげで、この分野の手法や実装がどこにあるのかがわかりました。
サイトをクリップして、いくつかレポートを見つけて、あとはAmazonで本を探して、と。

キーワードが、新しい扉を開いてくれたわけです。

このメリットこそが、あらゆる人に、特に、技術に関わる人がコミュニティを活用すべき最大の理由です。関心つながりですから、少なくとも先人の、あるいは他の視点の知恵を利用できます。自分とは異なる視点を持つ人と会話することは、新たな気づきを得られ、思考を刺激します。こうして仲間が得られると、相談できる人も増えます。実際、IT技術に関わる人たちが、こまごまとテーマ別にコミュニティを作っているのには、こうした魅力があるからではないかと思います。

さて、システムの話に無理やり戻します。どうしても避けるべきセキュリティ上の弱点（ぜいじゃくせい）とはなんなのか、わたしたちだけでなく世界中のシステム開発に関わる人たちが頭をかかえていることでしょう。OWASPは、この問題解決のためのグローバルなオープン・コミュニティです。

ぜひ「OWASP」「オワスプ」で検索してみてください。

OWASP Top 10や事前の対策のガイドであるProactive Controls、テストガイドや個別の問題のためのチートシートも、このコミュニティで作られており、日本語にも翻訳されています。全国で、楽しそうなイベントもやっています。結構いろんな企業が支援に参加しています。

さて、皆さんがどんなことに取り組んでいても、広くオープンなコミュニティが、きっとあります。一人でインターネット検索しても、なかなか到達できないことや、先人の知恵がそこにあるかもしれません。

活用こそが、コミュニティに貢献します。

オフラインだけでなく、オンラインコミュニティも多くあり、それほど人付き合いに悩まなくても情報交換できるサイトも、あります。単に勉強会に参加するだけでも、すでに公開されているものに感謝などのコメント、フィードバックを送ってみるだけでも視野は大きく拡がることと思います。

コミュニティは、会社の壁、地域の壁、また言語や国境の壁を超えることもあります。実際、わたしたちが使っている便利なアプリやデバイスは、そのものがそうした壁を超えて、わたしたちの手元に届いていますよね（笑）うまく活用していきたいものです。

長くなってしまいましたが、今回はコミュニティを活用すべき理由についてお話ししました。また、何かの機会に、みなさんのほうで新しい発見に導かれたストーリーについてお聞かせいただければ励みになります。

おっと、そういえば、次のOWASP Nightのネタを選ばないと・・・。

出張先にて時差ボケでお目めぱっちりな明け方のデスクよりお届けしました。
最後までお付き合いくださいまして感謝申し上げます。

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★日本トラストテクノロジー協議会（JT2A）主催で「JT2A設立記念イベント」
　が開催されます。
　日　時：2018年11月5日（月）14:00-17:35
　会　場：セコムホール
　参加申込：connpassイベントにてお申込みください。
　https://maturi-eswg-jnsa.connpass.com/event/103832

★JNSA電子署名WG、JT2A、PKI相互運用WGで意見交換会を開催いたします。
　テーマ：CSCの技術仕様V1アップデート概要説明と意見交換会
　講演者：CSC(Cloud Signature Consortium)Andrea Valle氏
　日　程：2018/11/7 16:00-17:00
　会　場：JNSA 1階 会議室
　※JNSA会員で参加ご希望の方は、JNSA事務局までご連絡下さい。

★内部不正WGによるインタビュー連載「日本の人事と内部不正、
　アルプス システム インテグレーション株式会社編」を公開しました。
　https://www.jnsa.org/result/soshiki/12_alsi.html

★10月27-28に行われたSECCON CTF 予選の順位を発表しました。
　https://2018.seccon.jp/2018/11/result-of-seccon-ctf-2018-quals.html

【事務局からのお知らせ】
★「Network Security Forum 2019（NSF2019）」を開催いたします。
　プログラム詳細は12月公開予定です！
　日　程：2019年1月22日（火）
　会　場：ベルサール神保町
　　　　（千代田区西神田3-2-1住友不動産千代田ファーストビル南館）

★家庭や学校からインターネットにアクセスする一般利用者を対象とした
　「インターネット安全教室」を全国各地で行っています。
　開催に興味のある方は、こちらからお問合せ下さい。
　https://www.ipa.go.jp/security/keihatsu/net-anzen.html

★JNSAは、（ISC）2やSANSの代理店として、会員企業の方へトレーニングの
　割引販売を行っております。受講の際にはぜひ事務局までご一報下さい。

 

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第149号
発信日：2018年11月2日
発　行：JNSA事務局　
*************************************