日々、刻々と変化するインターネットの世界で「セキュアなWebアプリケーション」を開発し、運用し続けるためには、最新の知識と多くのノウハウが求められる。Webセキュリティに関心が高い技術者たちと実際に会い、情報や意見の交換を行うことは、Webセキュリティに関する知識を蓄え、技術を高めるために極めて有効だ。

Webアプリケーションのセキュリティ向上や、セキュアなWebサービスの展開を目的とした共同研究やドキュメント作成、勉強会の開催などを行っているボランティアプロジェクトとして「The Open Web Application Security Project(OWASP)」と呼ばれる著名な団体がある。同団体が年に一度発表する「OWASP Top 10」は、Webアプリケーションにとって、その年に最も注意すべき脆弱性と、それに対する対処法を知るための有用な資料として多くの人や組織に活用されている。

今回、この団体の日本チャプター、「OWASP Japan」で代表を務める、テックスタイルCEOの岡田良太郎氏と、Webアプリケーションセキュリティの分野でさまざまなサービスを提供しているSCSKの境稔氏と亀田勇歩氏の3名に、OWASP Japan設立の経緯や、日本のWebアプリケーションセキュリティ向上を目指した今後の活動方針について話を伺った。

プロフィール

岡田 良太郎(OKADA Ryotaro)
――テックスタイルCEO、OWASP Japan 代表、WASForum 理事 兼 事務局長


2006年1月のIPA OSSセンター発足時より非常勤研究員を務め、自治体IT調達の実態調査、また災害対応プロジェクトチームを担当する。同時に、WAS(Web Application Security)Forum理事や、OWASP Japan代表も務め、国内エンジニアのセキュリティレベル向上を推進している。

境 稔(SAKAI Minoru)
――SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 エンジニア


エンジニアとしてコミュニティサイトやネットワークゲーム等、大規模なコンシューマ向けサービスのスタートアップに参加。Webアプリケーション脆弱性診断や診断トレーニングにおいて、発生しうる現実的なリスクを前提に、情報の完全性・機密性のみではなく、可用性や効果・コストを考慮した対策の提言を行っている。また、日々脆弱性の調査を行い、情報セキュリティ早期警戒パートナーシップガイドラインに基づき報告を行っている。

亀田 勇歩(KAMEDA Yuho)
――SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 エンジニア


ECサイトやWebやスマートフォンアプリ開発のプログラマーとして得た経験を活かし、アプリケーション脆弱性診断や診断トレーニングの講師としてセキュリティ業務に携わっている。また、各国で行われているCTF(Capture the Flag)競技に参加し、広範な知識と経験を活かして総合的な問題解決能力を磨いている。

2011年の東日本大震災がOWASP Japan設立の大きなきっかけに

――最初にOWASP Japanの概要と設立の経緯についてお聞かせください。

岡田 : 日本チャプターとしてのOWASP Japanは2011年末に設立が決定され、2012年に入ってまもなく本格的に活動を開始しました。その設立と活動の契機となったことにはいくつかの伏線があるのですが、そのひとつは2011年3月11日に発生した東日本大震災でした。その経緯について、説明します。

OWASP Japan 代表を務める、テックスタイルCEOの岡田良太郎氏

Webセキュリティに特化した米国の非営利団体であるOWASPは、以前からよく知られています。実は私自身もOWASPに参加しており「OWASP Guide」の翻訳者としても活動していました。オープンソースソフトウェア(OSS)を活用したソフトウェア開発の普及の流れに合わせて、安全なWebアプリケーションを作ることの重要性も同時に訴えられてきたのですが、そうしたセキュリティ実装についての情報を、日本語で日本のエンジニアに伝えていくことを、いわゆるライフワークのように感じています。その取り組みのひとつとして2004年3月11日に「WASForum(Web Application Security Forum)」を発足し、活動してきました。

OWASPの主要なメンバーから、日本チャプターを作らないかという話は以前からありました。しかし、WASForumでの活動を続けてきたこともあり、日本でOWASPを発足することについては、それほど必然性もないかなと、後回しにしてきたというのが実際のところです。

というのは、OWASPのドキュメントや資料はすべてオープンになっており、無償で自由に利用できます。そのため、IPAをはじめとするさまざま組織で、OWASPのドキュメントを参照したり、翻訳したものを公開したりというようなことは、これまでも行われてきました。それで、特にOWASP Japanを組織することで、日本のセキュリティ分野にとって強い必然性があるとも感じていなかったんですね。

――では、なぜOWASP Japanの設立に踏み切られたのでしょうか?

岡田 : 2011年3月11日に「東日本大震災」が起こりました。

その直後から、多くの被災地、被災者支援を目的としたWebサイト立ち上がりました。実際に調査したところ、実に数百のWebサイトが立ち上がり、そのほとんどが地震発生から72時間以内にリリースしていたことがわかりました。技術環境の視点では、仮想サーバやクラウド、アプリケーションの稼働環境、構築技術といったものが整備されていたという面がありますが、それにしてもこの意欲と活動は称賛に値する、すばらしいムーブメントだと思いました。

しかし一方で、社会的な使命や緊急性の高さが優先された反面、それらのサイトで稼働しているアプリケーションにおいて、「プライバシー」や「セキュリティ」への対応は後手に回っていたという現実もありました。これは、ある意味で仕方のないことだったかもしれませんが、あきらめて良い問題でもありません。

そこで私は、グローバルのOWASPに参加しているメンバーに連絡をとり、この現実に対して何かできることはないかと相談しました。これまでWASForumでは、セキュリティの技術的に最先端をフォローしたり、大きな問題を議論する場としての活動を中心に展開してきましたが、それにとどまらず「どんなエンジニアでも参考にできるセキュリティ情報を普及させること」また「日本での学びを世界に発信すること」が急務だと感じました。OWASPと密接に協力して活動することにより、国際的な協力関係や、日本のエンジニアの国際貢献も実現しやすくなります。そこで、何人かの有志と一緒に「OWASP Japan」としての活動を展開することになったというわけです。

――Webアプリケーションセキュリティに対する関心の裾野を広げることを目指しての設立だったのですね。

岡田 : はい。OWASP Japanの当面の目標としては、できる限り多くのエンジニアにリーチできる、定期的な運営を継続することを掲げています。

OWASPの世界中のチャプターへのレギュレーションとして、半年に1度以上のチャプターミーティングを行うことが定められています。OWASP Japanでは、専門性と意識の高い日本のアドバイザリボードメンバーからの情報に加え、世界のOWASPの関係者にアクセスして、情報交換を自由に行うことができるメリットを十分に活用していきます。

また、日本の技術者からも、OWASPに対して貢献しやすい環境が作れると思います。日本がWebアプリケーションやWebサイトの運営から学んでいること、特に「エンタープライズ」「スマートフォン(モバイル)」「組み込みの専用機、ゲーム機」の分野では、特に貢献できるテーマは数多くあります。

――既に日本でのミーティングも実施されているのですね。

岡田 : はい。さまざまな企業や組織との協力体制が構築しやすいという考えもあって、2011年末にWASForumの支援活動のひとつとしてOWASP Japanを設立することを決め、2012年3月末に最初のミーティングを実施しました。

具体的には、3カ月に1度、100名規模のミーティングを行い、有志にセキュリティに関するトピックを持ち込んでプレゼンテーションをしてもらうということをやっています。最初のミーティングは2012年3月27日に開催されました。日本橋公会堂で行い、171名の参加申し込みがありました。6月には楽天を会場にして241名。その次はサイバーエージェントを会場として、渋谷と大阪をネット回線で結んで170人の参加者がありました。4回目はIIJで開催し、136名の方が参加してくださいました。このときは、OWASPで著名なインストラクターによるプレゼンテーションを実現できました。最後に12月に行った総括イベントWASNIGHTも含めると、1年間でののべ参加者数は800名を超えました。

――SCSKのお2方も、OWASP Japanのミーティングに参加されたのでしょうか。

SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 マネージャー 境 稔氏

: ええ。私個人もOWASPのメンバーで、OWASP Japan の活動内容を聞いて参加させていただきました。普段、なかなか聞くことができないエキスパートのお話を聞ける貴重な機会として楽しんでいます。ミーティングの開催タイミングが、定例で平日の19時開始なので、会社員でも参加しやすいですね。

岡田 : 営利が伴うビジネスカンファレンスは通常デイタイムに行うものですが、19時開始だとそうした性質のミーティングではないことが分かりやすいので、結果的に多くのエンジニアの方が参加してくださるようです。

亀田 : 私は、境とはきっかけがちょっと違います。毎年、各国で行われているCTF(Capture the Flag)というセキュリティ技術を競うコンテストに日本チームとして参加し、昨年は米国ラスベガスで開催された「DEFCON」のCTFへ参加しました。国内ではセキュリティの啓蒙に取り組んでいます。

ネット上では、セキュリティに関心が高いメンバーによるコミュニティが出来上がっているんです。そのコミュニティでは、Twitterなどでセキュリティイベントに関する情報もやり取りされていました。OWASP Japanのミーティングについても、そこに登壇される方々から直接情報提供があり、開催を知って参加したという経緯です。

SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 エンジニア 亀田 勇歩氏

岡田 : そうだったんですか。OWASP Japanのミーティングは集客力が異常に高いとよく言われるんですが(笑)、そういう情報伝播の過程があったんですね。参加募集を開始した翌朝には満席になってしまうことも多々あり、うれしいことなのですが、一方でどうにかしなければと思っているところです。

というのは、ビジネスベースではないセキュリティのイベントというと、なんとなくアンダーグラウンドなイメージを持っている人もいるかと思うのですが、OWASP Japanとしては、オープンな雰囲気で、老若男女を問わず、参加者の裾野を広げていきたいと思っています。常連の方はもちろん大歓迎なんですが、「興味はあるけど、まだそうした勉強会に出たことがない」という方にも多く参加してほしいと思っています。

: OWASP Japanのミーティングは平日夜や土日の開催のうえ、参加費も不要なので、会社の稟議を通すなどの面倒な作業が要りませんし、実際に会場も明るくて、参加しやすい雰囲気はありますね。