今更ながらまっちゃ445勉強会(3/6開催)の復習をアップ
3/6に開催されたまっちゃ445勉強会に出席しました。しかしながら、その後、石垣島行ったりと遊びほうけていた...
勉強会に出っぱなしでは成長しないので、今更だけど、復習したことをアップしておく。
今回は寝坊したので、めざましは欠席した(をぃ
Session1:Security Development Lifecycle(マイクロソフトのジョン・ルーさん)
Security Development Lifecycle(以下SDL)という聞いたことない事項について。Software Development Lifecycle(ソフトウェア開発ライフサイクル)なら聞いたことあるけど、どうやらそれと似たものらしい。
というか、SDLはソフトウェア開発ライフサイクルから派生したもので、新しいものではない。セキュリティ対策をソフトウェア開発ライフサイクルに取り込むという営み。
重要なのは以下の3つ
- Security Training
- Threat Model
- Verification
Security Training
プロジェクトの全員に実施するセキュリティに関するトレーニング。たとえば、脆弱性を内在させないようにコーディングの悪癖を取り除く、等。ベストプラクティスの理解やツールの使用法の習熟等。
勉強会の参加者のツイートで、楽天の事例があがった。
アクセス制御の共通化を考える(日本オラクルの澤井さん)
アクセス制御には以下の2つの重要な要素がある。
- 認証:本人確認(Authentication)
- 認可:アクセス許可(Authorization)
アクセス制御の共通化が難しいのは、システムごとに個別にアクセス制御が実装されているから、共通化に必要な条件(プロトコル等)を満たさないから、といった理由がある。
ここで出てくのが、今回の話題の中心であるXACML(eXtensible Access Control Markup Language)
アクセス制御ポリシーの標準書式とプロトコルを規定した標準仕様。
似たもので、僕が聞いたことのあるやつにSAMLがあるけど。そっちは認証・認可に関わる表明のための書式(アサーション)とプロトコルを規定しているらしい。
とりあえず、XACMLについての記事をネット上で探す。
こことかが基本的な説明が載っているけど、どうもXACML独特の用語が多いようで、なかなか理解するまでには至っていない。
よくよく考えればわからないことはたくさんある。たとえば、EV証明書と普通の証明書の違いとか。
はてなダイアリーせっかくやっているんだからいろいろと勉強した成果をここに載せることでスキルアップしてかんと。もう3年目になるわけだし。