やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

OWASP Kansai DAY 2017 in Osaka 〜初心者でもわかるサイバーセキュリティ〜



これを書いているのは12月4日で、ちょっとばかしレポが遅れましたが、
表記のイベントに行って来ました。
https://owasp-kansai.doorkeeper.jp/events/65680
Kalafinaのライブ以来、7ヶ月ぶりのフェスティバルタワーです。
あいかわらず、すごい眺望ですな。ココは。


今回は初心者向けということで、IT以外の業界の方も数多く参加。
その名の通り、内容も総じてわかりやすかったと思います。
いつも通り、印象に残ったところをかいつまんでメモ。


(1)朝日新聞社のサイバーセキュリティ報道について
・日本初のコンピュータウイルスの記事1988。
・日電知ってたら、世代がバレる(苦笑)
・ウェブカメラが乗っ取られていることを記事化。
 その際、実際にカメラの所在地を押さえて、一件一件指摘して潰した
(所在地の中に組事務所ってあったぞ!?)
・サイバーセキュリティ記事を書くにあたって、どういうことを考えながらやっているか
 →出会い系サイトの情報流出事件を追っかけた件:「論より事実」「識者より当事者」


(2)子供の身近なセキュリティリスク
・子どもとネットを考える会の活動方針
アドベントカレンダーあり(これかな?)
https://adventar.org/calendars/2402
・ファストフードでスマホで場所取りする人いるけど論外
 →子供は普通にやってる
・2020年:プログラミング教育必修化、デジタル教科書導入
 →デジタル教科書を導入するにあたってのセキュリティをどうするか?
・中高生のスマホ事情:利用しているサービス:LINE、Youtube, Twitter
・「スタサポ」で大阪の高校生とわかる
・ツイートは位置情報を切っても、つぶやきと写真から推測可能
 →大人は感覚的に写真やつぶやき内容を考えるけど、子供にはそれがない。
・LINEタイムラインはWebでも見れる
・高校の情報の授業でやってること:カスペルスキーの教材
 →でも、印象に残るのはOfficeの使い方…
・セッション中にトレンドマイクロさん乱入
 →セキュリティキャンプ等を知らない子どもたちに
  このテの話をリーチするにはどうすればよいかが課題


(3)サートなお仕事 〜CSIRTの作り方〜(仮)
・永遠の26歳w
・そろそろナー○のお仕事知らん世代出てもおかしくないかも(苦笑)
・なんでコンピュータセキュリティに関わるインシデントに対処するの?
 →【回答例】インシデントが発生した時に被害を最小化する
・CSIRTの業務内容例:予防、事故対応、再発防止
 →実施範囲は企業ごとに異なる


(4)ライトニングトーク
大阪大学大学院:安全なデータ利活用なためのプロフェッショナル人材育成コース
 →この講座おもろそう。チラシ配布してるとのことだったが見つからず orz


・ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた
前回のOWASP Kansaiが初心者にはしんどすぎたので、自分でセキュリティ組織や
OWASPの団体を調べてみた。このまとめ、本当に役に立ちそう。


・Hardening 2017 Fesいって血みどろになってきた
資料は下記。
goo.gl/knypNu
いつもは沖縄宜野湾だったが、今回は淡路夢舞台。
参加倍率5倍(自分の知り合いも何人か申し込んでいたが、落選しまくってた)
8時間のハズが、まさかの翌日延長戦。


(4)トークセッション
・発注者、開発者、セキュリティそれぞれの立場によるトークセッション。
AWSには責任共有モデルがあるが、発注者と開発者の間に代理店が入ると崩れることも
(発注者からはすべて開発者の責任に見えてしまう)。
・IT知らない部署がシステム管理部署ほったらかして勝手に発注されるケース
(シャドーITのことかな)
・セキュリティマネジメントでチェックシート配ったら、WAF導入が項目にあり、
 開発費よりも高くなって笑うしかなくなることも。
・結論:シフトレフト