セキュメロ＃９に行ってきた

今回は「セキュリティ脆弱性の今」というテーマで、「Webアプリケーションセキュリティ対策は難しい？」、「暗号化技術のお話」という２つのセッションでした。

一つ目のセッションでは、Webアプリケーションの脆弱性の６割はプログラムに依存することなので、そこを押さえることでかなり脆弱性がなくなる。というお話でした。基本的にはやるべきことをやる！まぁ当たり前なんですが、この「基本的なこと」をどのように現場で啓蒙していくのか？が重要かなーと再認識。

あとは、フレームワークで対策するのがよいとのご意見。
これも当たり前といえばそうなんですが、けろよん。はPerl使いで大規模なフレームワークって使ってなかったので、そのあたりの感覚が弱いようです。最近は社内ツールでRailsを使ってみたりしながらフレームワークの便利さを実感しているところ。そうなるとフレームワークのバージョンアップにいかに対応するか？といったリスクをしっかり考えておかねば。。。と思いました。

二つ目のセッションは、神戸大学の森井先生のお話。やはりあかんあかんと思いつつも使い続けていたWEPに別れを告げる決心をさせてくださいました。暗号化って苦手意識が強いのですが、今回のお話でかなり興味がでてきました。波に乗ってる間に勉強しておかねば。

そして自分的に１番の収穫だったのが「安全という言葉は必ず前提条件がある」というお話。たとえば、ハードディスクの暗号化。安全だって言われてますが、「暗号が解読されなければ」という前提条件つきです。あたりまえですが。。。

でもこういった話っていつしか前提条件が置き去りにされて、「これをしておけば安全だ。」という風に気がつけば思考停止状態になってしまっていること。多いと思います。

このあたり、ちょっと意識していこう。と思いました。