間際の案内で恐縮ですが、今週の木曜と金曜に、ほぼ同じテーマで講演します。いずれも無料です。

2009年12月4日（金） 「これからのWebアプリケーションセキュリティ」セミナー
　日本アイ・ビー・エム株式会社 本社事業所（箱崎）

2009年12月3日（木）セキュア開発プロセス対策セミナー
　KCCS東京支社（泉岳寺）
　同じ内容で、2010年1月21日、2月18日にも開催されます

箱崎の方は80名、泉岳寺の方は10名ですし、開催時間なども異なります。ご都合の良い方、あるいは会場の大きさに対する好みなどで選択されればよいと思います。
敢えて内容の差を説明するならば、テクマトリックスさんのセミナーでは、発注・契約・要件などの最上流と開発プロセスの話に絞ること、KCCSさんのセミナーでは上記に加えセキュリティ検査の中身の話もします。上流やプロセスの話に興味の中心がある方およびAppScanによる検査に興味のある方はテクマトリックスさんに、手動検査の概要にも興味のある方はKCCSさんの方ということになります。

私は同種のテーマで過去3回講演しています。

• わんくまっちゃ４４５同盟 featuring Silverlight Square
• PHP カンファレンス 2009
• 第2回東北情報セキュリティ勉強会

講演資料は少しずつブラッシュアップしていますが、基本的には同じ構成のものです。したがって、上記のうちいずれかをお聴きになっている方は、わざわざ聞きに来られる必要はないかと思います。テクマトリックスさんのセミナーは、NECビッグローブ株式会社様のAppScan導入事例もあり、私も聴講するのを楽しみにしていますので、そちらを目当てにというのはもちろんありです。

内容をあまり変えてない理由は、三回とも好評であった（ように感じた）ので、あまりいじる必要性を感じなかったことと、このテーマが繰り返し追求するにふさわしい重要なテーマであると考えていることからです。
その重要なテーマとは、以下に要約されるものだと考えています。

• セキュア開発にはコストが掛かるといわれるが、それは本当か
• 上が本当なら、コストが掛かる本当の要因は何か
• セキュア開発には、どの程度余計にコストが掛かるのが妥当か

よく、「ガチガチにセキュアにしたいんだけど、それだと途方もなくコストが掛かるから」などという言葉を耳にするのですが、私がひねくれているせいか、「それはガチガチの中身が間違っているからではないですか?余分なことをガチガチの名の下にやってませんか?」と感じてしまいます。
私がそう思うには一応の根拠があります。セキュリティ検査をしていると、「なぜこんな変なことしているんだろう。使いにくいし、検査もしにくい。その分安全になっているとも思えない」というサイトを見かけます。安全にしようという意識が空回りして、素人考えで、余計なことまでしているのではないのかと思うのです。

というわけで、最近の流行語を使わせて頂くならば、「セキュア開発にも仕分けが必要だ」

先の問い掛けに、回答を挙げておきます。なぜそうなるかは当日セミナーにてお答えします。

• セキュア開発にコストが掛かるというのは本当
• セキュア開発にもっともコストが掛かる行程はテスト
• セキュア開発のために余計に掛かるコストは10%以内が妥当で、目標は5%以下

セキュア開発のために20%も30%も余分に掛けている企業、あるいは逆に、まったくコストが掛かっていない企業は、概ね「仕分け」が必要だと考えます（WAFやIPSなどの購入品の費用は別としてです）。
講演の概要・申し込みは以下からお願いします。

• http://www.techmatrix.co.jp/es/seminar/sec/appscan_20091204.html
• http://www.kccs.co.jp/news/events/091203.html[受け付け終了]