Microsoft主催の「セキュリティ・システム・トレーニングforDeveloper」を受講してきました。新宿住友ビルのマイクロソフトトレーニングセンターです。
内容は
1.アプリケーションセキュリティの基礎概念の習得
2.実践!セキュアなコードの記述Part1
3.実践!セキュアなコードの記述Part2
4.実践!.NET Frameworkを利用したアプリケーションセキュリティの実装
なかなか聞きごたえがありました。中でもバッファ・オーバーランについては簡単なサンプルでの実行を交えてかなり細かく説明していました。「基礎概念」では暗号化、ディジタル署名、ディジタル証明書、SSL、認証、承認などほんとにセキュリティに関する基礎をおさらいしましたが、実はこれらは3種類のセキュリティセミナーの他のトラックで詳しくやっているんですよね。今回の中心はやっぱり実際のコード記述の話です。
今日の話で一番力が入っていたのは「脅威のモデル化」という部分でした。対象のシステムについてどこが危ないのかを評価しようというためのツールです。それが明らかになればベストプラクティスが明確になると言うわけです。
それにしても最近マイクロソフトは啓蒙活動にかなり力を入れていますね。スマートクライアント、セキュリティなど開発関連でも無料セミナーが目白押しです。例のLinuxとのTCO比較キャンペーンも啓蒙活動に入るのでしょうか。開発関連ではかなりJ2EEとの勝負を意識しているように思えます。
私の個人的感想ではJavaの混沌とした世界よりもMicrosoftの1社統制の世界の方が安心というか落ち着いていられるというかあまり気を使わなくていい分効率的に感じます。Sunとも和解したしこの先両技術が融合されてくるといいんだけど。
コメント