初夏頃から始めたセキュリティ本勉強会、「 #wasbook 体系的に学ぶ 安全なWebアプリケーションの作り方」、通称「徳丸本」を毎週金曜日朝8時~で続けていた会が、めでたく先日読了したので、「徳丸本LT会」を実施しました。
なんと、著者である徳丸氏にも特別ゲストで参加頂きました!
なんと、著者である徳丸氏にも特別ゲストで参加頂きました!
- 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践/徳丸 浩
- ¥3,360
- Amazon.co.jp
セキュリティの話となると、非技術者の事業責任者は「難しくてよくわからない・・・」という事が多いと思います。
しかし、ユーザーが安心してサービスを利用するにあたって、安全性を担保する事は非常に大事な事であり、安全性について全く無知なのは非常に問題だと痛感した事が実際にあったので(サービスイン前の気づきだったから良かったのですが)。。
つまり事業責任者には、ユーザーが安心してサービスを使えるサービスにする責任もあるという事を痛感しました。当たり前ですけどね。
それ以来、よくわからなかったセキュリティについて、勉強をし始めました。CTOの小賀さんが企画して下さり、小賀さんはじめ、おみさん、もんもんさん、たいがさんと勉強熱心なエンジニアの皆さんに毎回丁寧に教えて頂きました。超感謝です
「わからない」は「分けられない」といいますが、基本的な事は分かるようになりました。体系的に勉強したので、全体図が見えることにより、今は何がOKで何がNGなのか、だいたい分けられると思います。
この本の中で読むべき箇所は「3章」です。
そもそもHTTPのリクエストとレスポンスの話、
セッションとは何か?クッキーとは何か?
普段わかっているつもりで使っているこういう言葉、
たいてい・・・というか
ほとんどの非技術者は理解していないと思います。
お客さんと銀行員のやり取りなどで分かりやすく書いているので、それだけ見て理解するだけでも価値があると思います。のでオススメです。
最後の方のページに書いていますが、最後に事業責任者ができるセキュリティ対策をまとめました。 - ■事業責任者がセキュリティリスクを回避するためにできる5つのこと
- 1.「IPAの安全なウェブサイトの作り方に従って作って欲しい」と開発者に依頼
- 2.「外部のセキュリティテストにパスする事前提のクオリティ」と開発者に依頼
- 3.一緒にはたらくエンジニアさんには徳丸本を読んでもらう
- 4.コードレビューの機会を作る
- 5.事業責任者として「安全第一」のモラルを絶対に失わない
- 事業責任者が知っておくべきセキュリティの話
参考までに、本日私が行ったLTを掲載します。
最近Slideshareの調子?PDFの調子が悪くてちゃんと表示されないこともあるようですが。
お忙しい所お越し頂きまして、本当にありがとうございました