●2011年の東日本大震災がOWASP Japan設立の大きなきっかけに

日々、刻々と変化するインターネットの世界で「セキュアなWebアプリケーション」を開発し、運用し続けるためには、最新の知識と多くのノウハウが求められる。Webセキュリティに関心が高い技術者たちと実際に会い、情報や意見の交換を行うことは、Webセキュリティに関する知識を蓄え、技術を高めるために極めて有効だ。

【拡大画像や他の画像】


Webアプリケーションのセキュリティ向上や、セキュアなWebサービスの展開を目的とした共同研究やドキュメント作成、勉強会の開催などを行っているボランティアプロジェクトとして「The Open Web Application Security Project(OWASP)」と呼ばれる著名な団体がある。同団体が年に一度発表する「OWASP Top 10」は、Webアプリケーションにとって、その年に最も注意すべき脆弱性と、それに対する対処法を知るための有用な資料として多くの人や組織に活用されている。


今回、この団体の日本チャプター、「OWASP Japan」で代表を務める、テックスタイルCEOの岡田良太郎氏と、Webアプリケーションセキュリティの分野でさまざまなサービスを提供しているSCSKの境稔氏と亀田勇歩氏の3名に、OWASP Japan設立の経緯や、日本のWebアプリケーションセキュリティ向上を目指した今後の活動方針について話を伺った。


プロフィール


○岡田 良太郎(OKADA Ryotaro)

――テックスタイルCEO、OWASP Japan 代表、WASForum 理事 兼 事務局長


2006年1月のIPA OSSセンター発足時より非常勤研究員を務め、自治体IT調達の実態調査、また災害対応プロジェクトチームを担当する。同時に、WAS(Web Application Security)Forum理事や、OWASP Japan代表も務め、国内エンジニアのセキュリティレベル向上を推進している。


○境 稔(SAKAI Minoru)

――SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 エンジニア


エンジニアとしてコミュニティサイトやネットワークゲーム等、大規模なコンシューマ向けサービスのスタートアップに参加。Webアプリケーション脆弱性診断や診断トレーニングにおいて、発生しうる現実的なリスクを前提に、情報の完全性・機密性のみではなく、可用性や効果・コストを考慮した対策の提言を行っている。また、日々脆弱性の調査を行い、情報セキュリティ早期警戒パートナーシップガイドラインに基づき報告を行っている。


○亀田 勇歩(KAMEDA Yuho)

――SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 エンジニア


ECサイトやWebやスマートフォンアプリ開発のプログラマーとして得た経験を活かし、アプリケーション脆弱性診断や診断トレーニングの講師としてセキュリティ業務に携わっている。また、各国で行われているCTF(Capture the Flag)競技に参加し、広範な知識と経験を活かして総合的な問題解決能力を磨いている。


○2011年の東日本大震災がOWASP Japan設立の大きなきっかけに


――最初にOWASP Japanの概要と設立の経緯についてお聞かせください。


岡田: 日本チャプターとしてのOWASP Japanは2011年末に設立が決定され、2012年に入ってまもなく本格的に活動を開始しました。その設立と活動の契機となったことにはいくつかの伏線があるのですが、そのひとつは2011年3月11日に発生した東日本大震災でした。その経緯について、説明します。


Webセキュリティに特化した米国の非営利団体であるOWASPは、以前からよく知られています。実は私自身もOWASPに参加しており「OWASP Guide」の翻訳者としても活動していました。オープンソースソフトウェア(OSS)を活用したソフトウェア開発の普及の流れに合わせて、安全なWebアプリケーションを作ることの重要性も同時に訴えられてきたのですが、そうしたセキュリティ実装についての情報を、日本語で日本のエンジニアに伝えていくことを、いわゆるライフワークのように感じています。その取り組みのひとつとして2004年3月11日に「WASForum(Web Application Security Forum)」を発足し、活動してきました。


OWASPの主要なメンバーから、日本チャプターを作らないかという話は以前からありました。しかし、WASForumでの活動を続けてきたこともあり、日本でOWASPを発足することについては、それほど必然性もないかなと、後回しにしてきたというのが実際のところです。


というのは、OWASPのドキュメントや資料はすべてオープンになっており、無償で自由に利用できます。そのため、IPAをはじめとするさまざま組織で、OWASPのドキュメントを参照したり、翻訳したものを公開したりというようなことは、これまでも行われてきました。それで、特にOWASP Japanを組織することで、日本のセキュリティ分野にとって強い必然性があるとも感じていなかったんですね。


――では、なぜOWASP Japanの設立に踏み切られたのでしょうか?


岡田: 2011年3月11日に「東日本大震災」が起こりました。


その直後から、多くの被災地、被災者支援を目的としたWebサイト立ち上がりました。実際に調査したところ、実に数百のWebサイトが立ち上がり、そのほとんどが地震発生から72時間以内にリリースしていたことがわかりました。技術環境の視点では、仮想サーバやクラウド、アプリケーションの稼働環境、構築技術といったものが整備されていたという面がありますが、それにしてもこの意欲と活動は称賛に値する、すばらしいムーブメントだと思いました。


しかし一方で、社会的な使命や緊急性の高さが優先された反面、それらのサイトで稼働しているアプリケーションにおいて、「プライバシー」や「セキュリティ」への対応は後手に回っていたという現実もありました。これは、ある意味で仕方のないことだったかもしれませんが、あきらめて良い問題でもありません。


そこで私は、グローバルのOWASPに参加しているメンバーに連絡をとり、この現実に対して何かできることはないかと相談しました。これまでWASForumでは、セキュリティの技術的に最先端をフォローしたり、大きな問題を議論する場としての活動を中心に展開してきましたが、それにとどまらず「どんなエンジニアでも参考にできるセキュリティ情報を普及させること」また「日本での学びを世界に発信すること」が急務だと感じました。OWASPと密接に協力して活動することにより、国際的な協力関係や、日本のエンジニアの国際貢献も実現しやすくなります。そこで、何人かの有志と一緒に「OWASP Japan」としての活動を展開することになったというわけです。


――Webアプリケーションセキュリティに対する関心の裾野を広げることを目指しての設立だったのですね。


岡田: はい。OWASP Japanの当面の目標としては、できる限り多くのエンジニアにリーチできる、定期的な運営を継続することを掲げています。


OWASPの世界中のチャプターへのレギュレーションとして、半年に1度以上のチャプターミーティングを行うことが定められています。OWASP Japanでは、専門性と意識の高い日本のアドバイザリボードメンバーからの情報に加え、世界のOWASPの関係者にアクセスして、情報交換を自由に行うことができるメリットを十分に活用していきます。


また、日本の技術者からも、OWASPに対して貢献しやすい環境が作れると思います。日本がWebアプリケーションやWebサイトの運営から学んでいること、特に「エンタープライズ」「スマートフォン(モバイル)」「組み込みの専用機、ゲーム機」の分野では、特に貢献できるテーマは数多くあります。


――既に日本でのミーティングも実施されているのですね。


岡田: はい。さまざまな企業や組織との協力体制が構築しやすいという考えもあって、2011年末にWASForumの支援活動のひとつとしてOWASP Japanを設立することを決め、2012年3月末に最初のミーティングを実施しました。


具体的には、3カ月に1度、100名規模のミーティングを行い、有志にセキュリティに関するトピックを持ち込んでプレゼンテーションをしてもらうということをやっています。最初のミーティングは2012年3月27日に開催されました。日本橋公会堂で行い、171名の参加申し込みがありました。6月には楽天を会場にして241名。その次はサイバーエージェントを会場として、渋谷と大阪をネット回線で結んで170人の参加者がありました。4回目はIIJで開催し、136名の方が参加してくださいました。このときは、OWASPで著名なインストラクターによるプレゼンテーションを実現できました。最後に12月に行った総括イベントWASNIGHTも含めると、1年間でののべ参加者数は800名を超えました。


――SCSKのお2方も、OWASP Japanのミーティングに参加されたのでしょうか。


境: ええ。私個人もOWASPのメンバーで、OWASP Japan の活動内容を聞いて参加させていただきました。普段、なかなか聞くことができないエキスパートのお話を聞ける貴重な機会として楽しんでいます。ミーティングの開催タイミングが、定例で平日の19時開始なので、会社員でも参加しやすいですね。


岡田: 営利が伴うビジネスカンファレンスは通常デイタイムに行うものですが、19時開始だとそうした性質のミーティングではないことが分かりやすいので、結果的に多くのエンジニアの方が参加してくださるようです。


亀田: 私は、境とはきっかけがちょっと違います。毎年、各国で行われているCTF(Capture the Flag)というセキュリティ技術を競うコンテストに日本チームとして参加し、昨年は米国ラスベガスで開催された「DEFCON」のCTFへ参加しました。国内ではセキュリティの啓蒙に取り組んでいます。


ネット上では、セキュリティに関心が高いメンバーによるコミュニティが出来上がっているんです。そのコミュニティでは、Twitterなどでセキュリティイベントに関する情報もやり取りされていました。OWASP Japanのミーティングについても、そこに登壇される方々から直接情報提供があり、開催を知って参加したという経緯です。


岡田: そうだったんですか。OWASP Japanのミーティングは集客力が異常に高いとよく言われるんですが(笑)、そういう情報伝播の過程があったんですね。参加募集を開始した翌朝には満席になってしまうことも多々あり、うれしいことなのですが、一方でどうにかしなければと思っているところです。


というのは、ビジネスベースではないセキュリティのイベントというと、なんとなくアンダーグラウンドなイメージを持っている人もいるかと思うのですが、OWASP Japanとしては、オープンな雰囲気で、老若男女を問わず、参加者の裾野を広げていきたいと思っています。常連の方はもちろん大歓迎なんですが、「興味はあるけど、まだそうした勉強会に出たことがない」という方にも多く参加してほしいと思っています。


境: OWASP Japanのミーティングは平日夜や土日の開催のうえ、参加費も不要なので、会社の稟議を通すなどの面倒な作業が要りませんし、実際に会場も明るくて、参加しやすい雰囲気はありますね。


●アプリケーションビジネスの現場に浸透するOWASPのプロジェクト

○アプリケーションビジネスの現場に浸透するOWASPのプロジェクト


――OWASPには多くのプロジェクトがあるようですが、その概要について教えてください。


岡田: OWASPには、グローバル混成で非常に多くのプロジェクトが存在します。しかし、それらはおよそ3つのジャンルに分類できます。その3つとは「Protect(防御)」「Detect(検知)」「Lifecycle(Webサイトのライフサイクル)」です。Lifecycleというのは開発から運用全般をカバーするジャンルなので、「Detect」や「Protect」の要素も部分的に含まれています。そのため、OWASPのプロジェクトの成果物は、運営の立場でも、企画構築の立場でも導入しやすくなっているのです。


ところで、SCSKさんも、OWASPのさまざまなプロジェクトやガイドラインを実際の業務の中で参照されているということですが、主にそれはどの部分になるのでしょう?


境: 脆弱性情報である「OWASP Top 10」と、アプリケーションセキュリティの診断手法である「ASVS(Application Security Verification Standard)」が多いですね。


岡田: いずれも日本語化が進んでいる分野ですね。


境: やはり、お客様に情報をお出しする場合には日本語でということになりますね。われわれセキュリティベンダーが独自に翻訳して提示するよりも、OWASPのような非営利団体がオープンにしている翻訳であるというところで、お客様が信頼してくださるケースも多いです。


岡田: オープンの価値も変わってきていますよね。以前のような、技術者に余暇を使って協力してもらうというレベルではなく、あらゆる組織のプロフェッショナルのコラボレーションによって進展していくという傾向にありますし、さらにそれらがパブリックになっています。公共性という部分に価値を見いだしてもらえるという流れはたしかに広がっていると思います。


○「品質の高いソフトウェア」の開発ノウハウを日本から世界に還元したい


――OWASPの中で日本を中心としたプロジェクトは進んでいるのでしょうか?


岡田: 日本では「受発注」ベースでWebアプリケーションを作るケースが多いという特殊性があります。グローバルでは、自社で作るのが一般的です。Webサイトはセキュリティ面、技術面での変化が日々起こっていく「生き物」として認識されているので、丸投げ的に「発注」して調達するという考えにならないんですね。


そこで日本発で「セキュリティ要件定義書」のひな形を作ろうというプロジェクトが進んでいます。現在もメンバーを募集しており、最初のドラフトもまもなくリリースされる予定です。この作業はOWASP Japanでワーキンググループとして進めていますが、近い将来にOWASPにコントリビュートし、英語への翻訳も進められることになると思います。


このセキュリティ要件定義書が示そうとしているのは、Webアプリケーションを構築する際に「何をもってセキュリティが確保されているとするか」という点なのですが、現状、一般的にはどのように考えられていると、SCSKさんでは感じていますか?


境: 多いのは、「一般に公開されている特定のガイドラインに沿っている」、もしくは「OWASP Top10のようなリストに記載されている脆弱性がないこと」といったものですね。とはいえ、レベルはまちまちで、一番詳しいところでは発注者側に「セキュリティ要件定義」の部隊を設け、彼らがRFPとして機能毎に細かく定義をしてくるケースもあります。一方で、一番低いレベルでは「脆弱性がないこと」とだけ書かれていたりもしますね(笑)。


岡田: 「脆弱性がないこと」の一文で済むのであれば、それは楽ですね(笑)。


亀田: 私は以前、アプリケーション開発側の立場で仕事をしていたこともあるのですが、実感として、開発の現場に「セキュリティの要件定義をできるスキルがないという」ケースも多くあるように見受けられました。そうなると、それぞれの要件を定義するというより、「特に実害がなければいい」という感じになり、セキュリティを担保するレベルが非常にあいまいになってしまいます。


岡田: 今でもよくあるケースは「ペネトレーションテストに合格すること」という要件ですね。そうすると「少なくともテストに合格するまでは修正しろ」ということになるのですが、実際にはこれは「臭いものにはフタ」のやり方になりかねません。つまり、ソフトウェア内部の品質よりも、外部的に問題が生じないようにする対応だけに注力して進みます。


そういったWebサイトはスケールしません。なぜなら、機能追加のたびに同じ問題が起こるからです。実際に発注すべきは、セキュリティ面も含めて「品質の高いソフトウェア」であるはずです。これは発注側が、ソースコードを入手して自由に改変し、拡張していけるレベルの品質を持ったソフトウェアです。


「テストに合格すること」という要件定義は、たしかに簡単なのですが、結果的に「中味はスカスカ」なのに、外見だけはしっかりしている家を作れと指示しているのと何ら変わりません。こうした状況が続くと、業界として才能を持った若いエンジニア、新たな技術に対応したスキルを持った素晴らしいエンジニアをうまく使うことができないばかりか、つじつま合わせだけが得意なエンジニアばかりが増えてしまう。これはまずいわけです。


この「セキュリティ要件定義書」は、「こういうことができるソフトウェアだと、品質が高い」「こういうことが実装できるエンジニアなら、どんなアプリケーションの開発やサイトの構築にも対応できる」という、有用なベンチマークになることが期待できます。これは、例えば東日本大震災後の被災地支援や、復興の旗印のもと新たなビジネスを立ち上げるためのWebサイト構築などにも、貢献する成果物になるだろうと思っています。


OWASPのいろいろなガイドラインやドキュメンテーションと一緒に、開発者のスキルを市場で役立たせていく枠組みを作るという活動は、日本の環境に向いているような気がしています。SCSKさんのエンジニアの方にも合った活動なのではないでしょうか。ドラフトを元に、みなさんの意見を出して、しっかりしたものを作っていくというのは、OWASP Japanの2013年における極めて重要なプロジェクトのひとつになると思っています。


境: 日本とグローバルのセキュリティ業界では、少し視点が違っているのはたしかだと感じています。日本では可用性を脇に置いて、機密性・完全性を重視する傾向があります。一方グローバルでは「情報は使える状態にあってこそ意味がある」という考え方のもとに、可用性とのバランスが重要視されます。「機密性・完全性・可用性の三点が、バランスよく質の高いアプリケーションを作ることが、ビジネス上のメリットになる」という考え方が一般的になれば、日本のソフトウェアビジネス、インターネットを活用したビジネスも、さらに盛り上がっていくのではないかと思います。その点で、このプロジェクトには賛同したいですね。


岡田: 日本では、東日本大震災後、Webサイトセキュリティに関する情報流通が、これまでになく盛り上がってきていると感じています。それも、個別のノウハウを知っているというだけでなく、体系的にどのように適用して効果を出すのかという方向に眼を向けたエンジニアが非常に増えています。OWASP Japanは、OWASPの資料、日本独自の社会環境やノウハウを、日本全体、ひいては世界にコントリビュートすることを目指していきます。


2013年は2月に済州(チェジュ)島で、APSECという環アジア地域のOWASPのイベントがあり、私も参加します。それを受け、OWASP Japanでは、3月11日の週に2013年最初のイベントを皮切りに、6月、8月と開催する予定です。8月のイベントは「OWASP DAY」と銘打って、学生の夏休みを狙って行いたいと思っています。ぜひ多くの方に参加していただき、様々なコラボレーションを実現したいですね。


亀田: DEFCONのCTFやWASForumの「ハードニング」(サイトの堅牢化)といった競技に参加して感じるのは、日本人技術者のセキュリティへの関心は年々高まってきているものの、まだまだ世界レベルに達している人材は少ないという点です。OWASP Japanのイベントは、セキュリティに対する関心と知識、技術を持った多くの人々と交流することができる貴重な機会です。ぜひ、こういった場で、意識を高めて向上するきっかけとしていきたいと思っています。


岡田: SCSKさんには、今後もエンジニアリング面や組織面でのサポートを含めて、幅広くOWASP Japanの活動にご協力いただけるとお聞きしており、大変うれしく思っています。


――どうもありがとうございました。


(柴田克己)


[マイナビニュース]