トーテックアメニティ株式会社

http://www.totec.jp/

製品・サービス情報

情報BOX 【 知って得するサイバーセキュリティ講座 】

第14回Webアプリケーションのセキュリティ設計

2012年12月19日

Webアプリケーションに対するサイバー攻撃で、情報漏洩が発生する原因の一つとして、開発現場でのセキュリティ設計に対する甘さが指摘されます。

たとえばオンラインショッピングのサイトでは、利用者がクレジットカード番号を入力し、決済を行う必要がありますが、そのクレジットカード番号は利用者情報として登録されます。その情報を保管する場所に問題がある場合が多いのです。

データベースサーバは、SQLスクリプトによって検索・追加・変更・削除などの処理を行います。もし、SQLインジェクションの脆弱性があれば、攻撃者に対して、データを自由にしてくださいと言っているようなものです。

このような事態に対処する一つの考え方は、外部から自由にアクセスできるWebサーバから、直接、データベースサーバに接続することを禁止することです。
その代わりに、Webサーバからでしか接続することができない別のサーバに、クレジットカードの利用承認を行うだけの機能を用意して、そちらでクレジットカード番号の管理を行うようにする方法があります。
こうすることで、クレジットカード番号が根こそぎ奪われるという危険は回避できます。

もちろん、それなりのクラッカー※が本気になれば、防御を一つずつ陥落させていく可能性があるため、多層的な防御手段をとる必要はあります。
しかし、少なくともSQLインジェクション攻撃を行うツールを使った、手当たりしだいの攻撃からは防御できる可能性が高くなるのです。

システムの開発者は、どうしてもコストや時間に追われるので、セキュリティがどうしても手薄になってしまいます。
その背景には、「単純に知らない」、「『大丈夫だろう』という過信」、「開発やメンテナンスの楽さを優先する」、などの状況や心理があります。

つまり、セキュリティについては開発者に任せるのではなく、発注者側でセキュリティ、利用者の利便性、コスト(金銭的時間的)の3要素を勘案して、開発者に指示しなければなりません。

通常、システムの開発を依頼する場合には、要件定義を行いますが、必ず、セキュリティに関する要件を発注者側と開発者側の間で合意するようにしてください。

利用者にサービスを提供するとき、システムに対する責任は、運営者である発注者側にあることを理解しておくことが必要です。

※(クラッカー)…悪意をもって他人のコンピュータのデータやプログラムを盗み見たり、改ざんなどを行う者のこと。

前号へ

◆ 次回は「サイバーセキュリティを実現する」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

お問い合わせフォーム

過去の記事一覧

このページのトップへ

事業内容
製品・サービス情報

TOTEC AMENITY LIMITED. All Rights Reserved. since2006.