「セキュア開発プロセスとウェブ健康診断仕様の応用」(ハッシュコンサルティング 徳丸浩さん)

自分は業務で実際にセキュリティ関係を気にしたことが無かったため、技術部分は知らないことが多く、XSSとかSQLインジェクションとか気をつける体制が無かったことをヤバいなと思いました。セキュリティだけじゃないんですが、"完璧"ってことは無いので、ここまでやるけどここはやらないという決めの問題が難しいんだなぁ、と思いました。まずは「安全なウェブサイトの作り方」を読んで意識改革ですね。

ライトニングトーク「MS09-047の話とか」(nig_luceさん)

大学院生のnig_luceさんが、MS09-047の障害を見つけ、報告した流れについてのお話。こういうのって自分には縁遠いものだと思っていたので、感心しきりでした。IPAにも窓口(脆弱性関連情報の届出)があるそうで、Microsoftでもどちらでも報告して良いそうですよ。何か見つけたら、下手に広めたりせず報告しましょう。

グループディスカッション

４グループに分かれて、みなさんの会社でのセキュリティ対策の現状などを話合いました。ユーザでなく、サービスを提供する側としての話です。自分は実際に作っていないというせいもあり、あまり会話に絡めなかったけど、先にセキュリティのことを考えるのは当たり前と思っていないといけませんね。ほとんど初対面なのに、話を出来て一応まとまったというのが凄いな。

おやつ！

写真とらなかった…orz

懇親会

• やっぱり岩手多いよ！
• 社内勉強会の悩みは、結構共通しているんだ
• ハッカソンのこととか聞けて良かった、ありがとう！
• 自分で開催しようとしている勉強会についてアドバイス＆励まし頂きとっても嬉しい

所感

今回は、同僚のid:zankeyとid:Citationが参加してくれました。二人ともこんなに楽しいものだと思わなかった！と言ってくれたので、とっても嬉しい。感想もUPが楽しみだ〜。
スタッフ業務、ちょっと反省するところがあった。次回、リベンジ。

Next...

3月か4月？？？

ちなみに、私のセキュリティの知識レベルは、「Base64っていうのは危ないんだなー」「公開鍵と共通鍵と秘密鍵っていうのがあるんだなー」程度です。JSPを使ったWEB系の業務に着いていたのは2年くらいですが、一般に公開しているサイトではなく、業務用のWebアプリです…。そんなレベルですがとても楽しめますし、Web系の仕事をしている人だったらもっと楽しめると思いますので、参加を迷っているアナタ、ぜひ次回参加してみてね！

メモ

• セロテープ
• 油性マジック
• 仕訳封筒
• 会場の入り口案内をあらかじめ
• 懇親会の人数変更の際、計算方法注意！