こちらの日記はずいぶん後沙汰しておりますが、標記のように、PHPカンファレンス2009 ビジネスデイにて発表する機会をいただきました。関係者のみなさまありがとうございました。
主催者からのリクエストが、「発注側として気をつけるべきセキュリティ」ということでしたので、今さらXSSやSQLインジェクションの話をしてもしょうがないと思い、発注者視点での話をこの機会にまとめてみようと思いました。そのため、タイトルは「45分で分かる、安全なWebアプリケーション開発のための、発注・要件・検収」といたしました。
発表の中でも述べましたが、発注者がセキュリティに関与できる場面は、発注と検収の場面しかなく、検収は発注仕様に沿っているかどうかを確認するものですので、発注と要件(発注仕様)が極めて重要ということになります。しかし、従来、このセキュリティ要件をどのように書けばよいかは、実はよく検討されていなかったのです。 詳しくは、講演資料をご覧下さい。
PDF形式でのダウンロード。ビジネスデイとはいえ、技術的テーマに関心の強いであろう人たち相手に、発注とか検収の話をして興味を持っていただけるか不安だったのですが、ブログやtwitterの反応を見る限り好意的なものもあり、ほっとしているところです。
このテーマは今後も検討を進めて、さまざまな機会で発表することを予定しております。現在決まっているのは、11月14日の第2回東北情報セキュリティ勉強会ですが、それ以外でも発表の機会を持つ予定です。その際には、このブログなどで告知いたしますので、よろしくお願いいたします。