『Club MySQL #5 ~SQLデータベースのセキュリティ』開催しました

mysql event

 久々の「Club MySQL」となる、『Club MySQL #5 ~SQLデータベースのセキュリティ』を開催しました。

mysql.connpass.com

Club MySQL は、ひとりの講演者の話をじっくりと聞こう、という趣向の、日本MySQLユーザ会のイベントシリーズです。今回は、徳丸浩先生にお引き受けいただき、Webセキュリティの視点でデータベースとして注視すべき点について語っていただきました。テーマとスピーカーのパワーで、当ユーザ会のイベントとしては「驚くほどたくさんの」参加申込みをいただき、ありがとうございました。

ライトニングトーク

 メインスピーカーにも、膨大な経験をもとに90分間たっぷりと濃厚な話を聞かせていただきましたが、ライトニングトークだってパワフルです。
 まずは「中の人」山﨑さんからMySQLセキュリティ強化の歴史について紹介していただきました。昔のMySQLは「置いたらすぐに使える」ことを目指していたこともあって、初期ユーザ、初期データベースなどに「したい放題」だったところがあるのですが、最近は少しずつ(いや急速にかも)「カタくする方向」に進んでいます。どのバージョンでどんな施策が採られてきたのか、とても整理されていて、勉強になりました。LTでというお願いだったので(それでも10分くらいお話されていましたが(笑))、ちょっと内容の濃さに対して慌ただしくなってしまったので、これにプラスしてその中から特に注目の施策についてもう少し掘り下げてお話を聞かせていただく機会を作りたいですね。
 yoku0825さんからは、過去のオラクルさんのMySQLセキュリティに関するセミナーを紹介する形で、DavidとJackの行動について語っていただきました。頭が良いのだか要領悪いのだかよくわからない David と Jack から我々はMySQLのデータを守ることができるのか。次々と悪いことを思いつく DavidとJackにドキドキしながら、話を聞かせていただきました。

徳丸先生の「ウェブセキュリティから見てデータベースってどうなのか解説する」

 このイベントの私の役割である「進行役」として、常に時間を気にしながら運営を進めているわけですが、今回徳丸先生にお願いした「90分くらいで」に対して、ほんとにきっかり 90分(プラス1分程度)でまとめてくださったことに驚きました。私も大概、何ヶ所かに伸び縮み可能な話題を入れておき、50分程度のセミナーならぴったり終わらせる自信はありますが、90分は誤差が出すぎてなかなか調整が難しいです。 徳丸先生の経験と職人技に、ちょっと感動しました。
 と、内容じゃないところの感動をまず紹介しましたが、もちろん内容にも感動しています!

 まず、Webセキュリティという観点、つまりMySQLを取り巻く実行環境全体が話題になる点が新鮮でした。MySQLユーザ会の勉強会というと、どうしてもMySQLにものすごく近い部分だけのお話--いわばMySQLの「中から」--になることが多かったので、MySQLの「外から」というのが今回のお話の視点でした。
 もう少し「データベース一般的」なお話が中心になるかと予想していたので、想像していた以上にMySQL固有のお話をたくさん入れていただいたのが嬉しかったです。私は、文字列の自動変換('ab'+'c' のような)は知っていたものの、まさかカラム値のほうまでが自動変換の対象になっているとは認識していなかったので、この話は驚きました。後ほど本件は別ブログとして書こうと思います。
 SQLインジェクションに始まり、文字エンコーディング、型変換、同時実行時の重複データ、そしてTDE。最後にそれぞれの対策によって守れるもの守れないものの整理が、特に良かったです。時々「データファイルを暗号化しておいたら最強じゃん?」と考えている感じの人に遭いますが、正しい入り口(表門(おもてもん))から来た人に対しては、いとも簡単にデータを渡してしまうので、いかに、正しい人だけ表門を通過させるかというのとセットで考える必要があるわけですね。

全体総括

 徳丸さんが、その前のLTで登場した DavidとJackを積極的に取り入れてくださった機転に、大笑いしました。これから動画をご覧になる方の中には、徳丸先生目当てでそこだけを視聴するつもりの方もいるかもしれませんが、ぜひLTもご覧いただけたらと思います。セットで見ると、徳丸さんの「ワザ」がわかると思います。
 今回の発表いただいた皆さんの内容、たいへん勉強になりました。DBMSセキュリティの分野では今後、悪いことをする人は David と Jack ということで定着しそうです(するのか?)。もう少しお話いただけそうな感じでもありましたので、またお誘いさせていただきます!このたびは、どうもありがとうございました。


坂井のオープニング説明資料(スライド)

www.slideshare.net


当日の模様(動画:日本MySQLユーザ会YouTubeチャンネル)

www.youtube.com



当日の模様(ツイート:Togetterまとめ)

togetter.com



体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

  • 作者:徳丸 浩
  • 発売日: 2018/06/21
  • メディア: 単行本