セキュリティ&プログラミングキャンプ・キャラバン2009(東京)

http://www.jipdec.or.jp/camp/caravan/

セキュリティ&プログラミングキャンプ・キャラバン2009(東京)に参加したのでその感想です。

9:00〜17:00までというほぼ一日のイベントで、流れを簡単に説明すると下記みたいな感じです。

  1. 午前中:セキュリティ&プログラミングキャンプの紹介。
  2. 午後1:マルチトラックセッション(プログラミングやセキュリティ、クラウド、仮想化なんかのセッションを選んで受ける)
  3. 午後2:セキュリティ&プログラミングキャンプの卒業生によるセッション。
  4. 午後3:講師陣とのディスカッション。

〜感想〜

まず最初のセキュリティ&プログラミングキャンプの説明は、実際の模様を動画などを交えて説明されており、「へぇ〜」と思いながら聞いていました。

セキュリティ&プログラミングキャンプについては記事を読んだりしていて、どんなことをやっているか、何となくは知っていたのですが、改めてそのレベルの高さに驚かされました。


午後のマルチトラックセッションは迷いながらも「ネットワーク攻撃とユーザーの選択肢」、「脆弱性、指摘する人される人」、「勉強会に行こう!」の3つを選択しました。

  • ネットワーク攻撃とユーザーの選択肢

事前に配布された資料の中に本セッションの資料があり、内容が面白そうだなと思い参加したのですが、結果とても面白くて参加してよかったなと思いました。

内容としては、httpsによるログインを取っ掛かりに、ARPDNSキャッシュポイズニングまでを取り上げ、その危険性なんかについてでした。
とにかく上野さんの説明がとてもわかりやすく、ARP、プロミスキャストモード、DNSなど、この辺りを知識を改めて整理することが出来ました。

本セッションで取り上げられていた「SSLはこちらから」にまさに?を持っており、某SNShttpsにしていない理由なんかと併せてとても参考になりました。
また、httpsでのSSLの処理が、httpと比較して2〜100倍くらいサーバーのCPUに負担を掛けているというのも、そうなんだろうなと思ってはいましたが、なるほどと思いながら聞いていました。

参考になったと言いながら、これは公衆無線LAN(WEP)で書いています。。

実際にウェブサイトの脆弱性を指摘した人と指摘された側の人が、それぞれの経験から話されたのですが、仕事でウェブアプリの脆弱性チェックを行ったりすることがあるので、とても参考になりました。

Namazuという具体的なオープンソースプログラムでの脆弱性対応の話や、I.Eのバグをマイクロソフトに伝えた話などとても興味深かったです。
そして具体的な統計データなんかもとても参考になりました。
後悔としては、CSRF対策について質問すればよかったと後で思いました。

また、聞いている中で、
利用者側として脆弱性を発見する人というのは、どういった経緯で発見するのかなというのがちょっと気になりました。
例えば、明らかにエスケープされていないなどは普通に使っていて発見することはあるかと思いますが、「Unicodeの制御文字が〜〜」なんていうのはどうやって見つけるかなと。

その他の話題ですと、脆弱性を指摘しても「それは仕様です」。。
そんなやりとりを過去にも聞いたことがあり、この辺りの開発時のセキュリティ要件の定義は大変だと思いますが、重要だなと思いました。

  • 勉強会に行こう!

よしおかさんとamachangさんお二人ということで参加してみたのですが、面白かったです。
机を丸形にしてそれぞれみんなで話をするという形式だったのですが、ここにいる人がどんなことをやっている人かということが少しわかったことがとてもよかったです。
(他のイベントに参加しても、ここにいる人たちはどんなことをやっているのだろうと思うことがあったので)

自分の説明はうまくできませんでしたが。。

何か特定に技術のイベントというわけではなかったので、本当に多種多様な人が参加しているんだなと感じました。

ところで勉強会ってどこまでが勉強会なんでしょうか?
先日参加したShibuya.pmは勉強会?(まぁなんでもいいんですが。。)

あと「IT勉強会カレンダー」は、ある方によって手動で更新されているということにとても驚きました。
その方のIT業界への貢献度ってものすごいなと思いました。

最初に本日の予定を見た時に「オッ!」と思ったのが、本ライトニングトークの「ブラッディマンデイ シーズン2」に備えてでした。

以前、シーズン1についての考察を読んで「すごい高校生もいるもんだ」と思い、楽しみながら読んでいたので、その御本人の話が聞けることや、またシーズン2の考察もするのかなと思い、とても楽しみでした。

話の内容は裏(TBSやHP)の事情なんかが聞けて、とても面白かったです。
シーズン2の技術監修が代わり、あのセキュリティと言えば「〜〜〜」というあの会社がやるということで、技術面での傾向なんかも変わったりするのかなとちょっと思ったりしました。
ドラマ楽しみです。

  • 講師陣とのディスカッション

一言でいうと、講師の方皆さんが本当に技術が好きなんだなということを感じました。
その中で印象に残った言葉を2つ。(自分の中で翻訳が入っています)

    • 文章もプログラミングも機能しないと意味がない。
    • プログラムにはHow、文章にはWhyが必要。

→文章とプログラム、形式は違えど機械に対しても人に対しても「伝えられる力」の大切さを感じました。

  • まとめ

考えてみるとあっという間でしたが、得るものが多く、本当に行ってよかったなぁと思いました。
多くの人に出会い話を聞くことは、刺激になると同時にもっと頑張らないとなぁと強く思わせてくれるので、これからも積極的に参加したいなぁと思いました。
そしていつかは自分が与えられる側になりたいなと思いました。


講師の方、関係者の方、本当にお疲れさまでした。
これが無料で参加出来るなんて本当に感謝です。

そして最後まで読んでくれた方、ありがとうございました。