トーク

概要

GMO Flatt Securityで日々 Webアプリケーションの脆弱性診断に従事する私が、PHPアプリケーションを題材に「攻撃者が脆弱性を見つける瞬間」と「開発者ができる対策ポイント」を紹介します。古くからあるCTFなどでも使われるようなテクニックから、最新のテクニックまで、再現デモとその対策方法を持ち帰っていただきます。

対象者

• PHPなどで開発中のエンジニア
• バグバウンティや脆弱性診断に興味をもつ学生・研究者

本セッションから持ち帰れるもの

• PHPで構築されたアプリケーションの特有の脆弱性とその対策方法について
• 実務で役立つチェックリスト

概要

GMO Flatt Security で日々 Web アプリケーションの脆弱性診断に従事する私が、PHP アプリケーションを題材に「攻撃者が脆弱性を見つける瞬間」と「開発者ができる対策ポイント」を紹介します。古くからあるCTFなどでも使われるようなテクニックから、最新のテクニックまで、再現デモとその対策方法を持ち帰っていただきます。

対象者

• PHP などで開発中のエンジニア
• バグバウンティや脆弱性診断に興味をもつ学生・研究者

本セッションから持ち帰れるもの

• PHPで構築されたアプリケーションの特有の脆弱性とその対策方法について
• 実務で役立つチェックリスト

PHPカンファレンスには、今PHPを使っているひとも、今は使っていないけど、PHPが好きだから参加しているひともいると思います。

「PHPにずっと関わり続けている」「PHPを使っていたが、今は別の言語で開発をしている」「最近PHPで開発しはじめた」という方々へ、以下の内容をエンジニアのキャリアプラットフォームを運営している転職ドラフトならではの視点でお伝えしていきます。

・そもそもPHPは、キャリアにおいてモダン？スタンダード？レガシー？どのフェーズの言語なのか？
・転職ドラフトのデータから見えるPHPerのキャリアパスの傾向は？
・PHPを軸として、今後のキャリアを選択するうえでの考え方とは？

本トークでは、弁護士ドットコム株式会社でより良いプロダクトの開発を目指して、 情報設計というキーワードを中心に約 5 年ほど取り組んできたことについてご紹介します。

具体的には、Application-Level Profile Semantics(ALPS) というアプリケーションの操作や語彙を記述するテキストフォーマットを活用した、情報を中心としたチーム開発の事例やAI開発ツールの活用事例についてお話します。
また、組織・プロダクトを跨いだメンバーで取り組んでいる、社内ワークショップ活動を通じた啓蒙活動についてもお話します。

WordPressは柔軟で世界シェアNo.1のCMSであり、適切な運用をすれば安全に活用できます。
しかし、「すべてをWordPressで完結させる」ことにこだわりすぎると、運用負荷が増したり、セキュリティリスクが分散しにくくなることもあります。
本セッションでは、PHPの視点からWordPressのセキュリティ対策を考え、スマートな分散アーキテクチャを提案します。

✔ WordPressはセキュリティ対策を組み込める優れたCMS
✔ プラグインを活用したセキュリティ強化の工夫
✔ サイト全体の安全性を高める分散型アーキテクチャ
✔ ID管理・アクセス制御・WAFなどを適切に組み合わせる方法
✔ WordPressのシンプルな運用を維持しながら、セキュリティを高める手法

「WordPressだからこそできる」安全な運用設計を具体的な事例とともに紹介し、無理なくセキュリティ対策を強化するためのヒントを提供します。WordPressの利便性を最大限に活かしながら、安全で快適な運用を目指しましょう！

kubellでは日々100万人以上のユーザーが「Chatwork」にログインし、アプリケーションを利用しています。
このセッションでは、「Chatwork」の認証基盤をAuth0へ移行し、運用を行っている実際のプロセスを詳しく紹介します。
Auth0への移行方法とPHPでの実装における工夫について具体的に解説します。
また、ログデータを活用した異常検知やビジネス分析の手法についても触れ、データを活用したアプローチについても紹介します。

WordPressはPHPベースのCMSですが、セキュリティ対策をすべてWordPress内部に依存するのは非効率的です。
本セッションでは、WordPressが抱えるセキュリティ課題をPHPの視点から考察し、分散型セキュリティアーキテクチャのメリットを解説します。
特に、PHPを活用してWordPress外のセキュリティレイヤーと連携する手法に焦点を当て、より安全かつ柔軟な運用戦略を提案します。

主なポイント
✅ WordPressのセキュリティの限界とPHPが担える役割
✅ 「WordPressだけで完結させない」分散型アプローチ
✅ PHPで外部システムと統合する方法（ID管理、WAF、アクセス制御など）
✅ 実装例：PHPによるJWT認証・RBACの組み込み
✅ WordPressの運用をシンプルに保ち、専門サービスを活かす戦略

いまやPHPの根幹を成すComposer

意外と「なんとなく」使ってる方もいらっしゃるのではないでしょうか？
そんな方々に、「Composerの仕組みもバッチリ知ってるよ！」となって帰って頂ける内容をお話します。

1. なぜComposerを使うのか？
   ・「車輪の再発明」は絶対やめよう
   ・ 成熟したPHPコミュニティ、あなたが作ろうとしている機能、大体あるんです
   ・ 複雑な依存関係を理解しよう

2. Composerはどのような仕組みで動いているのか？
   ・ packagistとComposerの関係について
   ・ composer.jsonとcomposer.lockの役割について
   ・ autoloadの仕組み、説明できますか？
   ・ ライブラリのバージョン、理解してますか？

3. Composerは遅いのか？
   ・ プロジェクトにおいて、Composerを使わず、手動requireした方が速いのか？否。
   ・ 大規模プロジェクトでのComposerの最適化テクニック

4. どんなプログラムをパッケージとして頒布するべきか？
   ・ もう、プロジェクト間のコピペはやめよう

ブラックボックス的な印象の強いComposer、これを機に、仲良しになりましょう！