みなさん、こんにちは。Rakuten-CERTの福本です。
　この度、2015年4月7日、8日に新経済サミットが開催されることになりましたが、今回、サイバーセキュリティのセッションで、なんと、あのエフセキュアブログでもお馴染みのミッコ・ヒッポネンが登壇することが決まりました！

インターネットに安全地帯はあるのか？　ミッコ・ヒッポネン(F-Secure  チーフ・リサーチ・オフィサー)

高度情報通信ネットワーク社会において、サイバーセキュリティはもはや欠かせない重要なキーファクターとなり、政府機関も民間もセキュリティ体制、対策の強化が急ピッチで進んでいるかと思います。僕は13年以上、楽天でサイバーセキュリティを担当していますが、サイバー攻撃・犯罪の手口はここ数年で著しく巧妙なものとなり、それは映画の世界みたいな話ではまったくなく、まぎれもなく現実世界の話であり、そんな中、僕たちは安全なモノづくりだけではなく、日頃からセキュリティ監視・分析も行い様々な攻撃に対する対応をしています。いま世の中的に更なるセキュリティ対策強化が求められるこの状況で、今回、ミッコがどのような話をしてくれるのか、僕たちにどのようなインプットを与えてくれるのか、非常に楽しみにしています！僕ももちろん当日は会場にいる予定です。興味のある方はぜひ参加されてはいかがでしょうか。 

　みなさん、こんにちは。Rakuten-CERTの福本です。
　これまでエフセキュアブログでOWASP AppSecについて何度か記事を書かせて頂きましたが、とうとう日本での開催がまもなくとなりました！OWASP AppSecでは鉄板ネタのCISOトレーニング、OWASP AppSensor、OWASP TOP10など、日本のスピーカーからもテッキーなネタがたくさんあり、見どころ満載なプログラムとなっています！数多くのセキュリティベストプラクティスを学べる絶好の機会なのでお見逃しなく。

　近年のサイバー犯罪は極めて深刻な状況であり、それに対抗するためにはソフトウェアの安全性を向上させていくことは極めて重要な意味を持ちます。教育者、ディベロッパー、セキュリティエンジニアなど多くのプレイヤーの方々の力を結集して、ウェブを、確かなものにしていけるよう、楽天もこのOWASPの活動を全力で支援します。僕もセッションMC、ボランティアスタッフとしてカンファレンスのお手伝いさせていただく予定です。みなさん、ぜひ会場で会いしましょう！

Have fun.

　みなさんこんにちは。Rakuten-CERTの福本です。
　朗報です。前回のOWASP JAPAN Local Chapter MeetingのパネルディスカッションでOWASP AppSecについて話題が取り上げられていましたが、なんと、あのOWASP AppSecがとうとう来年日本で開催されることで正式に決定しました！！日本では初開催になります！



　OWASP AppSecは世界の最先端のセキュリティのベストプラクティスを学べる絶好の機会であり、そして、日本のセキュリティ技術を世界に発信出来る良いチャンスでもあると思っています。そういった場を作ることがOWASP Japanを立ち上げた際の僕たちのひとつの目標だったのですが、こんなに早く実現出来てちょっと驚きです。それもOWASP JapanのLocal Chapter Meetingに毎回大勢の方が参加してくれて、日本のニーズがOWASP関係者に伝わったのが大きかったのかなと思っています。（ちなみに、前回のAppSec APACで岡田さんがOWASP Japanの活動を広報していましたが、多くのOWASP関係者がその参加者数に驚いていましたｗ）
　さて、Organization Supporterの楽天としてもさらに気合が入るわけですが、来年このイベントの成功させるために、OWASPボードメンバーの力を結集して全力で取り組みたいと思いますので、みなさまの応援とご協力のほどよろしくお願いいたします！そして一緒にAppSec Japanを盛り上げましょう！

　みなさんこんにちは。Rakuten-CERTの福本です。

　第2回 OWASP Japan Chapter Meetingが6月27日（水）に開催されます！本イベント は、セミナーや持ち込みのライトニングトークの形で行われる、Webセキュリティに関心のある方が集う、楽しくカジュアルな勉強会です。イベント参加希望の方は、こちらからご登録をお願いします！！

今回はRakuten-CERTのリサーチャーから、近年注目されているMobile Securityについてデモを含めたプレゼンテーションもあります。お楽しみに！

have fun.

　みなさんこんにちは。Rakuten-CERTの福本です。
　先日、OWASP AppSec APAC 2012に参加してきました！楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられています！！トレーニングにそこまで投資してもらえるのはエンジニアとしては大変ありがたいことで、会社からの期待に応えるべく今回はシドニーに行って来ました。（笑）


＃パネルディスカッションにはWhiteHat SecurityのCTOのJeremiah Grossmanも。あのCSS history hackを見つけた。

　一応、今回のカンファレンスはOWASPのGlobalイベントなのですが、参加者は100人もいなかったでしょうか。（日本人は僕たち3名だけ）でも、こじんまりした感じでコミュニケーションも取りやすかったのでけっこう良かったです（笑）

　セッションの内容についてですが、引き続きsecurity auditingをいかに効果的に、効率的にやっていくか、という話が多かったように思います。Black box testingでは見つけられる脆弱性やスケーラビリティにも限界があるので、ソースコードを診断に利用するアプローチが進んでいて、守り側としては今後もソースコードにアクセス出来る利点を最大に活かしていこうという流れは加速して行きそうです。実際、楽天も社内の診断ではGray box testingに変えつつあります。診断していてどうも挙動がおかしいな？と思ったとき、いろいろ動きを試してみるよりもソース見た方が手っ取り早いので。他にもクラウド型のソースコード診断の話や、モバイルアプリケーションのセキュリティの話など、いろいろ参考になりました。あと、今回のAppSecの参加者はpen testerの方が多かったような気がします。Pen testerが参考になるネタも結構あったからでしょうか。

　社内にずっといると視野が狭くなりがちなので、自分達の対策を客観的に捉え、新しい方向性を考えるうえで、こういう機会は大事にしたいですね。

おまけ：

せっかく来たのでカンファレンス最終日にロブスターをいただきました！ｗ
 

　みなさんこんにちは、Rakuten-CERTの福本です。今日は、Identity Theftについて。

　警視庁のサイバー犯罪対策のHPで、「平成23年中の不正アクセス行為の発生状況等の公表について」という資料が公開されていますが、その別紙に（おそらくどこかで不正に入手した）アカウントリストを使った不正ログイン攻撃についての記載があります。

　おそらくなのですが、どこかのサイトで漏洩したID/パスワードのリストが流通していて、攻撃者は他のサイトでも不正に使えないか試しているようです。実際、僕たちのサービスも、どこかで情報漏洩のインシデントが発生すると不正ログイン試行の件数が急に跳ね上がったりします。これは攻撃者が最初に、対象サイトでログイン可能なアカウントリストを作成するために不正ログイン試行をしているようで、そしてリスト作成後に違うIPアドレスからログインしてこっそり不正を試みるわけです。（ちなみに楽天では独自開発した検知ロジックがあって、不正と判定されたらパスワードが初期化されます）

　さて、侵入率が6.7%という数値をどうみるか。これはかなりの成功率だと思うので、攻撃者側の経済合理性を想像すると不正ログインによる被害は今後増えていくのではないかと思っています。他社で漏れてしまったID/パスワードが自社の脅威となる状況なので、新たな対策を考えなければならないですね。

　みなさんこんにちは。Rakuten-CERTの福本です。

　この度、日本のWebアプリケーションセキュリティのために有志が集まってOWASP Japanが立ち上がり、待望の第1回のLocal Chapter Meetingが開催されることになりました！！楽天もOWASPのメンバーシップにOrganization Supporterとして加入をし、微力ながらOWASP Japanの活動をお手伝いさせて頂いております。

　今回のスピーカーはかなりの豪華メンバーですよ！そして、予想をはるかに超える勢いですぐに満席になってしまいました。多くの人がOWASP Japanを待ち望んでいたんですね、きっと。

　当日、みなさんと会場でお会い出来るのを楽しみにしています（笑）
　また、今回、満席で参加出来ない方はすいません。。このイベントは定期的に開催するので、また次回の機会に！あと、セキュリティエンジニアの方だけでなく、ディベロッパーの方も大歓迎ですよー。

　みなさんこんにちは、Rakuten-CERTの福本です。

　今日、セキュリティ・キャンプ実施協議会の設立総会に参加してきました！

　近年、インターネットセキュリティの重要性はますます増していて、ユーザー企業においてもセキュリティエンジニアの採用は非常に困難な状況になっています。ですので、IPAさんのセキュリティ&プログラミングキャンプはもっと頑張って欲しいなあと思っていたのですが、今年から産官学オールジャパンで若年層のセキュリティ人材育成を強化するということなので、微力ながら楽天株式会社も協賛企業としてご支援させて頂くことにしました。

僕たちはセキュリティエンジニアを目指す人たちを応援しています！！

　ちなみに、協賛企業の一覧を見ると我々と同様のユーザ企業の名前がちらほら見当たります。個人的には、今まさにユーザ企業ではセキュリティエンジニアを雇用し、アウトソースせずに自社のリソースでセキュリティをやり始めようとしているのかなと思います。ユーザ企業でのセキュリティエンジニアのポジションはもうじき一般的なものになるでしょう。そして、現場も良く知っているセキュリティエンジニアの価値はさらに高まると思っています。

いつかは現場持っている僕たちユーザ企業の方がセキュリティ詳しいくらいにしたいですね！

　みなさんこんにちは。Rakuten-CERTの福本です。Rakuten-CERTでは最新のセキュリティ情報をインプットすべく、様々なセキュリティカンファレンスに積極的に参加する機会を設けているのですが、今回はOWASP AppSec USA Conferenceにうちのメンバーを2名派遣してきました。

こちらは会場の様子。

　OWASP AppSecはWebセキュリティに特化したカンファレンスで、僕たちのようなWebサイト側で働くセキュリティエンジニアにとっては、かなりフィットした内容になっているのかなと思います。そして、AppSecのハンズオントレーニングもかなり興味深いものが多いです。ちなみにうちのメンバーは以下のコースを受講して、多くのインプットを持って帰って来ました。

・Building Secure Ajax and Web 2.0 Applications (Dave Wichers / Aspect Security)
・Designing, Building, and Testing Secure Applications on Mobile Devices (Dan Cornell / Denim Group)

　Aspect SecurityといえばWebGoatを中心的にやっているところですね。この前者のコースはテキストが200ページ近くあってかなりのボリュームなのですが、基本的なチェックポイントが体系的に整理されていて大変参考になるものでした。そして、Rakuten-CERTでは今後の強化ポイントとして、smartphoneアプリの診断テクニックをリサーチしているのですが、後者のトレーニングもチェックの網羅性を高めるうえで極めて良いインプットになったのかなと思います。他にもtalkの方では、Ghosts of XSS Past, Present and Futureでの、ここ数年でXSS対策がContextごとに細かなケアーが必要になって来ている話が興味深かったり（やっぱり、新しい攻撃手法にキャッチアップし続けて対策方法にFBし続けるのが大事だなあって・・）、Gray, the New Black: Gray-Box Web Penetration Testingでの、同じスキルで競い合っても攻撃者側の方が時間的に有利なので、防御側はソースコードにアクセス出来る利点を活かして効率的に脆弱性発見し修正しましょうという話しも興味深く、特にこのネタは会場でも盛んに議論され注目度も高まっているようでした。
こちらtalkの方の資料は一般公開されているので、興味があれば読んでみてはいかがでしょうか。

　ちなみにですが、AppSecってあまり知られてないみたいで日本からの参加者はたった3名だったそうです（うち楽天が2名）。ちょっと意外に思ったのはディベロッパーが多いということですね。29%もいます。あと、学生は6%だそうです。その中には12歳のハッカー？もいて、ちょっと驚きもありましたが（笑）

http://owasp.blogspot.com/2011/09/owasp-appsec-usa-2011-wrap-up.htmlから

それと、AppSec CTFっていうイベントもあったのですが、こちらは十分な情報収集が出来なかったので次回の機会に・・・

　みなさんこんにちは。Rakuten-CERTの福本です。
　最近、様々なインシデント事例があってセキュリティ関係者は大忙しみたいですね（苦笑）そんな状況でもあるので、ここ最近は多くの企業でセキュリティのニーズも増しているのかなと思うのですが、GovInfoSecurity.comの記事によると米国のセキュリティ人材の失業率はなんと0%とのことです。これは驚きの結果ですね。セキュリティエンジニアを採用するのは非常に困難な状況なのかもしれません。実際うちも採用は大変です・・。

　最近、ユーザ企業側でのセキュリティ体制の整備についてちょっと調べていたのですが、やはり下記の一覧のように、ここ数年で多くの企業でCSOが任命され、企業内CSIRTの整備も進んでいるようでした。

　この中でも個人的にはフェイスブックの取り組みは気になっているところで、彼らはかなりの腕利きのハッカーを採用してたり、Security Bug Bounty Programもやってたりします。（ちなみにこの記事によると、早速多数のセキュリティ研究者から脆弱性の報告があったようで$40,000を支払ったようです）これらはユーザ企業側のセキュリティの取り組み方が変化してきていることを示していると思っていて、彼らの今後の動向は要チェックです。

　本題に戻りますが、この先多くのユーザ企業が自社のセキュリティ対策を整備していくためには、これまでより多くのセキュリティエンジニアが必要になると思うので、セキュリティの人材育成がますます重要になってくると思っています。はっきり言って今でもセキュリティの分野は人材不足です。そのためにも、セキュリティ＆プログラミングキャンプのような人材育成支援の取り組みはもっとやった方がいいと思うし、そして日本でもCTFへの積極的支援があってもいいのかなとも思っています。例えば、お隣韓国のKISA（韓国インターネットセキュリティ庁）のCODEGATEの取り組みのように。これは僕の主観なのですが、韓国はここ数年、このような国策によってセキュリティエンジニアのレベルはかなり向上したように思えます。

　やっぱり技術者を育てるためは高い目標とライバルと競い合う場は必要だと思うし、CTFはそのためも必要な場だと思うので、来年あたり楽天セキュリティサミット（楽天グループだけのローカルセキュリティカンファレンス）の一部をオープンな形にして、Rakuten CTFが出来ないかなって思っています。またひとつ、僕の目標が出来ましたね。

　この度、楽天株式会社は、メール送信ドメイン認証技術「DKIM（DomainKeys Identified Mail）」を普及させるために、「Japan DKIM Working Group（dkim.jp）」に参加しました。

　DKIMは2007年にRFC 4871として承認されたわけですが、この技術が世の中に浸透したらメールによるフィッシング犯罪、または標的型攻撃の防止にも大いに効果があると思っています。ちなみに、迷惑メールについては現在国内で受信されるメールの約7割とのことで、その多くが「なりすましメール」と言われているそうです。多いですよね。。

　自律・分散・協調を基本とするインターネットでは、「協調」するところが重要であり難しいところでもあると思うのですが、これだけ迷惑メールが横行して、そして悪用にも使われている状況なので、今回のDKIM普及の取り組みによって、みんなが協力し合って不正行為に対抗していることを大いに期待しています！

安心・安全なインターネット社会のために。

　楽天はこの度、PacSec 2010に協賛しました!
　僕たちRakuten-CERTのセキュリティエンジニアにとって、PacSecはとても重要な情報源であると位置づけています。国内でこれだけのハイレベルな技術情報をインプット出来るカンファレンスというのは本当に貴重で、このようなイベントが日本でも開催されるのは非常にありがたいことだと思っています。CanSecだと出張費が結構かかるので、なかなか行けないですからね。。

　さて、今年期待したいネタついてですが、スマートフォンアプリの脆弱性診断に関わる話題でしょうか。特にObjective-Cで開発したiPhoneアプリのバイナリ診断は、僕たちの課題だったりします。

スピーカーの公開も始まったので、皆さん要チェックですよ！！

　何やらTwitterのXSSワームがいろいろ話題になっていましたが、F-Secure　ミッコ・ヒッポネンさんの「ハッカーを味方につけろ」にてひとつ気になる所がありました。

(snip)
　私が助言するとすれば、Twitterは自分達のシステム内にある、重要なセキュリティ脆弱性を新たに発見する目的で、報奨制度を設けるべきだろう。

 　たぶん、こうしたオンラインハッカーの中には、楽しみのために新たなシステム破壊ワームを書くよりは、金儲けの方に興味を持つ人達もいるだろう。
(snip)

　確かに報奨制度は脆弱性の悪用を防ぐためのひとつの手段かも知れません。ですが、脆弱性を見つけて報奨金がもらえるとなると、むしろ攻撃者の不正アクセス行為を助長させ、結果的にはリスクが増えるのではないかと思います。それと、Webサイト運用側にとっては不正アクセス行為（の可能性と検知されるアクティビティ）が増える可能性が考えられ、これをやると監視の方もひと苦労でしょう。。あくまで仮説ですが。

　個人的には報奨制度ではなく、企業内でセキュリティエンジニアを雇用、育成し、安全なソフトウェア開発のために検証工程に脆弱性チェックというプロセスを組み込む方がいいのではないかと思います。（もし、既に組み込まれているとしたら、そのプロセスを強化するということで）

　もちろん、その作業はインターネットセキュリティの専門会社にアウトソースするという選択肢もあります。ですが、可能ならセキュリティエンジニアを雇用した方が経済合理性があるのではないかと思っています。楽天ではアウトソースと自社のセキュリティエンジニアの組み合わせでセキュリティ業務をしていますが、実績としては、やはり自社の作業比率を上げた方がコスト面やリードタイムなどメリットが大きいです。

　そして、Webサイト運営の現場では様々なセキュリティの業務があり、脆弱性チェック以外でもセキュリティエンジニアを必要としていて、彼らの活躍の場は沢山あると思っています。
Rakuten-CERTの業務の一例：あんしん・あんぜんなWebサイト運営のために


　この先、インターネットサービス企業が生き残るためには、インターネットセキュリティの技術は必須になると思っています。お客様の情報は守った上でのサービスですから。楽天ではそのベースとなるセキュリティ技術、そして体制をさらに強化しているところです。僕たちはもっともっと優秀なセキュリティエンジニアを必要としています。そして、セキュリティエンジニアの方々にはもっともっとユーザ企業側でも活躍して欲しいなあと思います。
やってみると結構、面白いですよ。

have fun.