第6回 セキュリティ・フォーラム レポート

 財団法人インターネット協会(IAJapan)セキュリティ研究部会では、恒例となったセキュリティフォーラムの第6回目を 2001年7月26日(木)13:30よりIAjapanの会議室にて開催しました。

 今回は、7月11日〜15日米国ラスベガスで開催された、ハッカーが主催しセキュリティ関連会社も参加する公式なカンファレンス「The Black Hat Briefings」 と世界のハッカー達が年1回集う祭典「DEFCON9」という2つのイベントの参加報告、最近とみに狙われるWebサーバとWebアプリケーションを、その脆弱性からいかにして守るかという解説の二題をとりあげました。



本川氏

株式会社日立情報ネットワーク システムインテグレーション本部 本川 祐治氏

 第1部は「BLACK HAT2001&DEFCON9報告会」と題して株式会社日立情報ネットワーク システムインテグレーション本部の本川祐治氏にお願いし、「ハッカー」と「クラッカー」、「Whitehat」と「Blackhat」という言葉の使い分け(それぞれ前者が「良い人」後者が「悪い人」)と、名前や噂を聞くだけの有名人、両イベントを主催したダーク・タンジェントやBackorifisの作者サー・ディスティックなどの人となりと主義主張の紹介からお話が始まりました。前半は、Blackhat2001で取りあげられたTim Newshamの無線LANのセキュリティWEPプロトコルの脆弱性、Security FridayのDaiji Sanai(唯一の日本人発表者)のARPパケットを利用したpromiscuous node検出手法、Ofir Arkinの潜水艦のソナーによる音紋照合に類するICMPパケットからの情報収集手法などについての報告。後半はDEFCON9の話題に移り、このセミナーで発表したためにFBIに逮捕されたロシアの暗号研究者も参加したUber Haxorセミナーの報告と、会議開催中終日行われるハッキング大会Capture The FlagやDJルーム、ゲーム大会のHaxor jepordyの様子などの紹介で、それぞれの雰囲気、「お祭り」騒ぎがよく伝わる発表をうかがうことができました。

資料 『BLACK HAT2001&DEFCON9報告会』 (PDF:160KB)



ガーラント氏

米国サンクタム社カスタマサービス担当副社長 ヤーロン・ガーラント氏

 第2部は「Webアプリケーションセキュリティのご紹介」と題して米国サンクタム社カスタマサービス担当副社長のヤーロン・ガーラント氏にお話いただきました。Webサーバの潜在的セキュリティホールやWebアプリケーション自体に内在する脆弱性を利用した攻撃など従来のファイアウォールでは防ぐことができない、セキュリティホールの分類とその防御方法を、同社の製品を用いた実演を交えて解説していただきました。第1部の生々しい話題のあとというこもあり、活発な質疑応答が繰り返されコンテンツセキュリティの重要性を認識していただけたものと思います。

資料 『Webアプリケーションセキュリティのご紹介』(PDF:3.2MB)
※「掲載資料はプレゼンテーション時の日本語版となっています」


 今回6回目を向かえ、年間を通じて定期的に開催するという当初の目標を達成することができましたが、今後も皆様のご期待に沿えるよう頑張っていきたいと思います。次回は 9月20日(木)に毎回 アンケートでのご要望が多い侵入検知システム(IDS)の話題を取りあげる予定です。具体的な内容は現在検討中ですので、決まりしだいあらためてご案内いたします。



Copyright (C) 2001 Internet Association Japan
インターネット協会事務局
sec@iajapan.org