わんくまっちゃ445同盟 featuring Silverlight Square でR.Lのワッフル
末広がりな2009年8月8日に東京・新宿で開催された第08回 まっちゃ445勉強会に参加してきました。今回は「わんくま同盟」「まっちゃ445勉強会」「SilverlightSquare」の3コミュニティ合同の勉強会という形式で行われました。
セキュア開発プロセスとウェブ健康診断仕様の応用
今回はHASHコンサルティングの徳丸さんによる「セキュア開発プロセスとウェブ健康診断仕様の応用」を目当てに参加してきました。
前置きで話していた話で興味深かったのが、「Webアプリケーションのセキュリティの要件の中に『ウイルス対策ソフトを導入』とあると、Linux+Apacheではなく、ウイルス対策ソフトの選択肢が豊富なWindows Server+IISが選ばれることがある」という事例でした。
そうか、そういう選び方もあるのか。笑
「システム開発において、資産洗い出しやリスク分析という手法が有効なシーンは多いが、Webアプリケーションの場合には、どれも同じような結果になりやすいので、対策を選ぶようなアプローチの方が効果的。」とのこと。システムや大枠の機能なんかはほとんど同じものばかりですしね。
そして、その対策を選ぶアプローチのセキュリティ要件の説明のくだりでは、ウチ(トライコーダ)がCCで公開して配布している「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」の話を何度か取り上げて頂きました。ありがとうございます。ちなみにこの資料の作成には徳丸さんに尽力して頂いております。
(食べたりない人は、こちらにもどうぞ。宣伝:『セキュアWebアプリケーション開発』研修 応募締め切りまであと2週間です。 - うさぎ文学日記)
ウェブ健康診断では、診断コストが1システム10万円以下になるように作ったそうです。当然全ページ検査を10万円以下でできるわけもなく、特定の機能を持ったページを抜き出して、特定の脆弱性を検査します。
診断仕様・判定基準・抜き取り基準は定義され、公開しているわけですが、徳丸さんが紹介していたEXCELシートが便利そうでした。その画面内にある機能をチェックしたら、診断すべき脆弱性診断の項目を記したチェックシートを生成するというものです。
10万円以下になる肝は、この辺りの細かな作業を機械的にできるという点もありますね。ただ、残念ながらこのシートは公開していないそうです。
はじめてのSilverlight
まっちゃ445は行きつけ(?)の勉強会で、わんくま同盟では1度プレゼンをさせて頂いたことがありますが、SilverlightSquareというコミュニティは知りませんでした。というより、Silverlightにまったく触れたことがなかったもので…。すいません。
知らないままも失礼だろうと思い、プレゼンでSilverlight版Hello!Worldをちょっとだけ紹介するシーンがあったので、勉強会中にさくっとHello!Worldしときました。バイナリXMLというのにちょっと興味があるので、もうちょっと触っていこうと思います。
勉強会って興味がある同じテーマだけというのもおもしろいですが、こういう今まで触れてなかったものがセットになってるっていうのもいいですよね。
しかし、用事があったので勉強会半ばの16時30分ごろで帰ってしまいましたので、この勉強で少し興味を持ち始めたSilverlightのプレゼンを3本を見逃してしまいました。
また、お話ししたい方もたくさんいたのに残念でした。また、合同勉強会が開催されるのを楽しみにしています!