OWASP AppSec Day 2019:安全な開発者を育成する

2019年11月21日発行
ピーテル・ダンヒョウ著
ケーススタディ

OWASP AppSec Day 2019:安全な開発者を育成する

2019年11月21日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

今月初め、私は美しいメルボルンで開催されたOWASP AppSec Day 2019に参加する機会を得ました。このような開発者向けのイベントは、カレンダーの中でも最も好きなものの1つです。ソフトウェアエンジニアやスペシャリストを教育し、彼らの仕事にセキュリティを取り入れられるようにするために、たゆまぬ努力を続けているコミュニティの存在を、謙虚に思い起こさせてくれます。

ゲストのラインアップはセンセーショナルで、爽やかで多様性に富んでいることは言うまでもありません。この業界に何年も身を置いていても、私も刺激を受けて帰ることができるというのは素晴らしいことです。ターニャ・ヤンカトニ・ジェームズテリー・ラディケルは素晴らしいプレゼンテーションを行い、ワイヤグールのエルダー・マークセンはその場で安全なコーディングに挑戦し、会場全体を驚かせましたが、参加者のセキュリティに対する意識の高さを目の当たりにすることができたのは素晴らしいことでした。

今年、Secure Code Warrior はこのイベントのプラチナ・スポンサーでした。ちょうど4年前、スタートアップの私たちに無料のブースとプロモーションを提供してくれたのは、OWASP AppSec Dayのチームだったことを思い出して、思わず笑ってしまいました。会社としてどれだけ進歩したかを誇りに思うと同時に、このような素晴らしい人々の寛大なコミュニティが存在することに感謝する瞬間でもありました。

トニ・ジェームズ開発者の視点から見たセキュリティ

この世界でもっと育てなければならないものがあるとすれば、それは「共感」です。ソフトウェアをより安全にするためには、開発者の苦境を理解することが不可欠なのです。

トニのプレゼンテーションはとても楽しく、すべての開発者にとってすぐに共感できるものだったと思います。単に「安全なコードを書け」というだけではなく、もっと多くの話があります。私は確かに、セキュリティに関する効果的なトレーニングを受けた開発者は、脆弱性と戦うための最良のチャンスだと信じていますが、彼らの日々の課題を考慮することは不可欠です。

ソフトウェア開発者の仕事は、何百万人ものユーザーに公開され、重要なインフラを支え、私たちが当たり前のように利用しているサービスの原動力となることがあります。機能構築、ビジネス革新の実行、無駄のない納品期限の厳守など、多くのプレッシャーがありますが、それはAppSecチームが大きく立ちはだかり、彼らのハードワークをバラバラにしてしまう前の話です。トニは、このような環境での生活がどのようなものであるか、また、すべての立場の人が共感することで、はるかに優れたプロセスとセキュリティの成果が得られることを語りました。開発者とAppSecチームの間のギャップを埋めるために、このような健全な取り組みが行われていることを非常に喜ばしく思います。結局のところ、これは前向きで繁栄するセキュリティ文化の重要な要素であり、トニはこのプロセスが信じられないほどうまく機能している典型的な例です。

トニ・ジェームズと、カスタマー・サクセス・ウォリアーのジャネット。

Tanya JancaとTeri Radichel:セキュリティ・スーパーヒーロー

競うわけではありませんが、Tanya JancaとTeri Radichelのカンファレンスでの貢献は私のお気に入りのひとつです。クラウドのセキュリティ評価をDIYで行うというチュートリアルの10分後には、彼らの驚くべき幅広い経験、資格、専門知識だけでなく、知識を共有して開発者コミュニティをサポートしたいという純粋な温かさが伝わってきました。彼らは一緒に、セキュリティポリシーの設定や最小特権の対策に関する実践的なアドバイスなど、Azureの実装の安全性を確保するための現実的で実行可能なアクションを提示しました。

彼らは、草の根レベルで開発者をサポートするために、豊富な無料のリソース、指導の機会、ソフトウェアセキュリティの楽しく魅力的な側面を促進するためのインタビューなどを行っており、Googleで検索すれば、その献身ぶりがわかるでしょう。次に参加するセキュリティカンファレンスで彼らが講演するとしたら、そのセッションを見逃すわけにはいかないでしょう。

@shehackspurple自身、Tanya Janca。

大舞台に立つクライアント

多くのお客様が参加されただけでなく、ステージに立ってセキュリティに関する豊富な知識を披露されていたのは素晴らしいことでした。

Telstra社のAndrew Bailey氏が「Adding the "Sec'to DevOps"」という重要な講演を行っているのを見ることができました。シニア・ソフトウェア・エンジニアとしての豊富な経験を活かし、アプリケーション・セキュリティとセキュア・コーディングに焦点を当てた彼の講演は、非常に優れた内容でした。彼は、SDLCのすべての段階でセキュリティを導入するためのエンド・ツー・エンドのヒントを提供しました(もちろん、最初の段階で、より多くの開発者にセキュアコーディングのトレーニングを行うことも含みます)。

ケン・ジョンソンはGitHubのセキュリティチームに所属しており、カンファレンスの最後に行われた専門家によるパネルディスカッションに参加してくれました。彼は、他のパネリストとともに、メディアでは必ずしも注目されていないような質問も含めて、聴衆からの差し迫った質問に喜んで答えていました。彼は、業界についてのいくつかの洞察とともに、ウェルビーイングとワークライフバランスの重要性についてパネルで議論しました。これは、開発者の燃え尽き症候群の時代には非常に重要なことです。

ジュリアン・バートン氏をはじめとするOWASPメルボルンチームの皆さん、今回も素晴らしいカンファレンスを開催していただき、本当にありがとうございました。来年、またお会いしましょう(ステッカーをたくさん用意して)。

セキュリティコードウォリアー ステッカー
リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

OWASP AppSec Day 2019:安全な開発者を育成する

2019年11月21日発行
Pieter Danhieux著

今月初め、私は美しいメルボルンで開催されたOWASP AppSec Day 2019に参加する機会を得ました。このような開発者向けのイベントは、カレンダーの中でも最も好きなものの1つです。ソフトウェアエンジニアやスペシャリストを教育し、彼らの仕事にセキュリティを取り入れられるようにするために、たゆまぬ努力を続けているコミュニティの存在を、謙虚に思い起こさせてくれます。

ゲストのラインアップはセンセーショナルで、爽やかで多様性に富んでいることは言うまでもありません。この業界に何年も身を置いていても、私も刺激を受けて帰ることができるというのは素晴らしいことです。ターニャ・ヤンカトニ・ジェームズテリー・ラディケルは素晴らしいプレゼンテーションを行い、ワイヤグールのエルダー・マークセンはその場で安全なコーディングに挑戦し、会場全体を驚かせましたが、参加者のセキュリティに対する意識の高さを目の当たりにすることができたのは素晴らしいことでした。

今年、Secure Code Warrior はこのイベントのプラチナ・スポンサーでした。ちょうど4年前、スタートアップの私たちに無料のブースとプロモーションを提供してくれたのは、OWASP AppSec Dayのチームだったことを思い出して、思わず笑ってしまいました。会社としてどれだけ進歩したかを誇りに思うと同時に、このような素晴らしい人々の寛大なコミュニティが存在することに感謝する瞬間でもありました。

トニ・ジェームズ開発者の視点から見たセキュリティ

この世界でもっと育てなければならないものがあるとすれば、それは「共感」です。ソフトウェアをより安全にするためには、開発者の苦境を理解することが不可欠なのです。

トニのプレゼンテーションはとても楽しく、すべての開発者にとってすぐに共感できるものだったと思います。単に「安全なコードを書け」というだけではなく、もっと多くの話があります。私は確かに、セキュリティに関する効果的なトレーニングを受けた開発者は、脆弱性と戦うための最良のチャンスだと信じていますが、彼らの日々の課題を考慮することは不可欠です。

ソフトウェア開発者の仕事は、何百万人ものユーザーに公開され、重要なインフラを支え、私たちが当たり前のように利用しているサービスの原動力となることがあります。機能構築、ビジネス革新の実行、無駄のない納品期限の厳守など、多くのプレッシャーがありますが、それはAppSecチームが大きく立ちはだかり、彼らのハードワークをバラバラにしてしまう前の話です。トニは、このような環境での生活がどのようなものであるか、また、すべての立場の人が共感することで、はるかに優れたプロセスとセキュリティの成果が得られることを語りました。開発者とAppSecチームの間のギャップを埋めるために、このような健全な取り組みが行われていることを非常に喜ばしく思います。結局のところ、これは前向きで繁栄するセキュリティ文化の重要な要素であり、トニはこのプロセスが信じられないほどうまく機能している典型的な例です。

トニ・ジェームズと、カスタマー・サクセス・ウォリアーのジャネット。

Tanya JancaとTeri Radichel:セキュリティ・スーパーヒーロー

競うわけではありませんが、Tanya JancaとTeri Radichelのカンファレンスでの貢献は私のお気に入りのひとつです。クラウドのセキュリティ評価をDIYで行うというチュートリアルの10分後には、彼らの驚くべき幅広い経験、資格、専門知識だけでなく、知識を共有して開発者コミュニティをサポートしたいという純粋な温かさが伝わってきました。彼らは一緒に、セキュリティポリシーの設定や最小特権の対策に関する実践的なアドバイスなど、Azureの実装の安全性を確保するための現実的で実行可能なアクションを提示しました。

彼らは、草の根レベルで開発者をサポートするために、豊富な無料のリソース、指導の機会、ソフトウェアセキュリティの楽しく魅力的な側面を促進するためのインタビューなどを行っており、Googleで検索すれば、その献身ぶりがわかるでしょう。次に参加するセキュリティカンファレンスで彼らが講演するとしたら、そのセッションを見逃すわけにはいかないでしょう。

@shehackspurple自身、Tanya Janca。

大舞台に立つクライアント

多くのお客様が参加されただけでなく、ステージに立ってセキュリティに関する豊富な知識を披露されていたのは素晴らしいことでした。

Telstra社のAndrew Bailey氏が「Adding the "Sec'to DevOps"」という重要な講演を行っているのを見ることができました。シニア・ソフトウェア・エンジニアとしての豊富な経験を活かし、アプリケーション・セキュリティとセキュア・コーディングに焦点を当てた彼の講演は、非常に優れた内容でした。彼は、SDLCのすべての段階でセキュリティを導入するためのエンド・ツー・エンドのヒントを提供しました(もちろん、最初の段階で、より多くの開発者にセキュアコーディングのトレーニングを行うことも含みます)。

ケン・ジョンソンはGitHubのセキュリティチームに所属しており、カンファレンスの最後に行われた専門家によるパネルディスカッションに参加してくれました。彼は、他のパネリストとともに、メディアでは必ずしも注目されていないような質問も含めて、聴衆からの差し迫った質問に喜んで答えていました。彼は、業界についてのいくつかの洞察とともに、ウェルビーイングとワークライフバランスの重要性についてパネルで議論しました。これは、開発者の燃え尽き症候群の時代には非常に重要なことです。

ジュリアン・バートン氏をはじめとするOWASPメルボルンチームの皆さん、今回も素晴らしいカンファレンスを開催していただき、本当にありがとうございました。来年、またお会いしましょう(ステッカーをたくさん用意して)。

セキュリティコードウォリアー ステッカー

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。