情報BOX 【 知って得するサイバーセキュリティ講座 】
第14回Webアプリケーションのセキュリティ設計
2012年12月19日
Webアプリケーションに対するサイバー攻撃で、情報漏洩が発生する原因の一つとして、開発現場でのセキュリティ設計に対する甘さが指摘されます。
たとえばオンラインショッピングのサイトでは、利用者がクレジットカード番号を入力し、決済を行う必要がありますが、そのクレジットカード番号は利用者情報として登録されます。その情報を保管する場所に問題がある場合が多いのです。
データベースサーバは、SQLスクリプトによって検索・追加・変更・削除などの処理を行います。もし、SQLインジェクションの脆弱性があれば、攻撃者に対して、データを自由にしてくださいと言っているようなものです。
このような事態に対処する一つの考え方は、外部から自由にアクセスできるWebサーバから、直接、データベースサーバに接続することを禁止することです。
その代わりに、Webサーバからでしか接続することができない別のサーバに、クレジットカードの利用承認を行うだけの機能を用意して、そちらでクレジットカード番号の管理を行うようにする方法があります。
こうすることで、クレジットカード番号が根こそぎ奪われるという危険は回避できます。
もちろん、それなりのクラッカー※が本気になれば、防御を一つずつ陥落させていく可能性があるため、多層的な防御手段をとる必要はあります。
しかし、少なくともSQLインジェクション攻撃を行うツールを使った、手当たりしだいの攻撃からは防御できる可能性が高くなるのです。
システムの開発者は、どうしてもコストや時間に追われるので、セキュリティがどうしても手薄になってしまいます。
その背景には、「単純に知らない」、「『大丈夫だろう』という過信」、「開発やメンテナンスの楽さを優先する」、などの状況や心理があります。
つまり、セキュリティについては開発者に任せるのではなく、発注者側でセキュリティ、利用者の利便性、コスト(金銭的時間的)の3要素を勘案して、開発者に指示しなければなりません。
通常、システムの開発を依頼する場合には、要件定義を行いますが、必ず、セキュリティに関する要件を発注者側と開発者側の間で合意するようにしてください。
利用者にサービスを提供するとき、システムに対する責任は、運営者である発注者側にあることを理解しておくことが必要です。
※(クラッカー)…悪意をもって他人のコンピュータのデータやプログラムを盗み見たり、改ざんなどを行う者のこと。
◆ 次回は「サイバーセキュリティを実現する」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)