Session1:Security Development Lifecycle（マイクロソフトのジョン・ルーさん）

Security Development Lifecycle（以下SDL）という聞いたことない事項について。Software Development Lifecycle（ソフトウェア開発ライフサイクル）なら聞いたことあるけど、どうやらそれと似たものらしい。
というか、SDLはソフトウェア開発ライフサイクルから派生したもので、新しいものではない。セキュリティ対策をソフトウェア開発ライフサイクルに取り込むという営み。

重要なのは以下の3つ

• Security Training
• Threat Model
• Verification

アクセス制御の共通化を考える（日本オラクルの澤井さん）

アクセス制御には以下の2つの重要な要素がある。

• 認証：本人確認（Authentication）
• 認可：アクセス許可（Authorization）

アクセス制御の共通化が難しいのは、システムごとに個別にアクセス制御が実装されているから、共通化に必要な条件（プロトコル等）を満たさないから、といった理由がある。

ここで出てくのが、今回の話題の中心であるXACML（eXtensible Access Control Markup Language）
アクセス制御ポリシーの標準書式とプロトコルを規定した標準仕様。
似たもので、僕が聞いたことのあるやつにSAMLがあるけど。そっちは認証・認可に関わる表明のための書式（アサーション）とプロトコルを規定しているらしい。

とりあえず、XACMLについての記事をネット上で探す。
こことかが基本的な説明が載っているけど、どうもXACML独特の用語が多いようで、なかなか理解するまでには至っていない。

よくよく考えればわからないことはたくさんある。たとえば、EV証明書と普通の証明書の違いとか。
はてなダイアリーせっかくやっているんだからいろいろと勉強した成果をここに載せることでスキルアップしてかんと。もう3年目になるわけだし。