4月10日の総関西サイバーセキュリティLT大会(総サイLT)に行ってきたので軽く紹介
どんなイベントか?
関西のセキュリティ業界を活気づけるという目的の元で隔月の第2水曜日に開かれる関西1大きいセキュリティのイベントです。(私調べ)
基調講演とLTがあり、基調講演では無償できてくださる講師の方の実際の経験などを含んだためになる講演が、LTでは5分ぴったりという短い時間に面白いセキュリティの話題や経験というのを聞くことができます。
個人的な感想とすると、他の技術的な勉強会などでは「自分が行っても大丈夫だろうか…」という不安があると思います。しかし、このイベントでしたら言い方は悪いが聞くだけなので是非ともセキュリティに興味のある初心者の方などにも行っていただきたいイベントです。また、関西の有名な方などとも出会える珍しい機会なのでただ聞くだけではなく是非とも周りの方と話して見たりして人脈を広げる機会として頂きたいです。
基調講演
What's Security Engineering manager
メルカリのセキュリティのマネジメントをされている方が講演されました。セキュリティのマネージャーとしてどんな事をされて、どのような仕組みの上で行なっているのかというお話しでした。
面白いと感じたのは、MissionやValue、Tenetsといったようにどのような目的を持ったチームなのか?、何をするのか?といった事が全て文章として定義しており、もし業務上で悩む事があれば文章化されたその目的や役割というのと照らし合わせて考えるという点です。なぜそのような事をするのかという理由としておっしゃっていたのが、セキュリティというのはいつも決断が必要となる分野のため悩んだ時に判断の基準となるものを作る事によってより良い判断ができるように助けるという理由でした。
このValueの中には、ただ禁止するのではなく受容できるリスクは受容するというのがあります。この点について「リスクの受容というのは経営陣は了承しているのか?」という質問がありました。それに対しての答えというのが「Valueの説明責任を果たすとある通りに経営陣にも説明して理解してもらった上でする」というもので、文章化するだけでなく実際に行動に影響を与える仕組みが成り立っているのは素晴らしいです。
https://speakerdeck.com/springmoon6/whats-security-engineering-manager?slide=6
海外のサイバーセキュリティ法や個人情報保護観点のトレンド
(会場のみ)
LT
面白かったLTを例として上げさせて頂きます。
脆弱性診断を内製化してわかったこと
開発案件でシフトレフトするプロジェクトの一環として脆弱性診断を内製化する事にした。
多かった脆弱性としてXSS、HTTPレスポンスヘッダ、パスワードの文字数などがあり脆弱性の修正をするように開発者に言っても、脆弱性のこと自体を知らないことも多いという問題が浮かび上がった。
内製化して出来たこと
https://speakerdeck.com/koujimatsuda11/cui-ruo-xing-zhen-duan-wonei-zhi-hua-sitewakatutakoto
私も脆弱性診断などから社内のセキュリティ技術を高めていけるような仕事がしたいと思っているためこの方のLTがとても興味深かったので上げさせて頂きました。
まとめ
総関西サイバーセキュリティLT大会は技術だけでなく社会情勢や実際の体験を通して得た事など、他の関西圏である勉強会よりも広く浅く知る事が出来ます。是非ともセキュリティに興味ある方やセキュリティやっている人と繋がりたいなどと考える方など参加して見て欲しいです。
(基本的に内容の拡散が推奨されているイベントのためブログに感想として上げさせて頂きましたが、内容など取り上げないで欲しいなどありましたら申し訳ないのですが twitter:@ksusec_hiroの方までお教え頂けますと幸いです…)
追記
今回参加させていただいた総関西サイバーセキュリティLT大会と同じく、関西を中心とした有名なセキュリティの集まりであるtktk勉強会さんとのコラボで今年も7月の14日に「Ultimate Cyber Security Quiz」があるそうです。セキュリティに関してのクイズを3部制で競い一位を目指すという熱い競技なので是非こちらも参加してみて下さい。(私も昨年は用事で行けなかったので今年は参加したいです!)
