ケータイWebセキュリティとWAFのセミナーにて講演します
間際の案内になってしまいましたが、今週の木曜日から12月にかけて、KCCS東京支社(東京港区、最寄り駅は泉岳寺)にて、ケータイWebセキュリティとWAFのテーマで、何回かセミナーをすることになりました。
第一回は、10月29日(木)15:00〜16:30 「WAF導入コンサルティングセミナー」 です。
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~ | 徳丸浩の日記にて書いたように、現在主流となっているホワイトリストを中心とするWAFのマーケティングおよび啓蒙は間違っています。しかしながら、現在WAFの情報が非常に不足しており、WAFベンダー以外の中立的な情報はほとんどない状態です。このような中、効果的なWAFの選定・導入の考え方について、日経SYSTEMS 3月号に寄稿したWAFの評価記事「検証ラボ WAFでWebアプリの脆弱性を守れるか」で得られた知見を含め、中立的な立場からたっぷりと喋ります。
企業のセミナーですから、最終的にはWAFを売るための話を期待されているわけですが、そんな中でもWAFに対する本音を炸裂させるつもりですので、ご期待下さい。
また、i-mode2.0は前途多難 - ockeghem(徳丸浩)の日記およびi-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)にてケータイJavaScriptの危険性を報告しましたが、そんな中、いよいよiモードブラウザ2.0のJavaScript機能が再公開されるとの発表がありました(NTTドコモの報道発表資料)。一方で、はてなブックマークのモバイル版で発生したセキュリティ事件・事故にみられるように、ケータイWebサイトのセキュリティ事件・事故も増加の兆しを見せています。ケータイブラウザの高機能化は、クラッカー側にとっても攻撃のバリエーションが増えるわけで、早期にケータイWebのセキュリティを見直さなければならない状況といえます。
ケータイWebの特徴から、セキュリテイ対策の要点までを解説する予定です。
講演の概要・申し込みは下記KCCSサイトからお願いします。
追記(2009/10/27 7:00)
セキュリティホールmemoからリンクいただきました。小島先生、ありがとうございました。先着10名で、和気あいあいとしたセミナーにしたいと思っておりますので、お申し込みはお早めに。