IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

クラウド時代のネットワーク事情

CTC 教育サービス

 [IT研修]注目キーワード   OpenStack  OpenFlow/SDN  情報セキュリティ  Python  システムトラブルシュート 

Webセキュリティ (大喜多利哉) 2015年2月

はじめに

 先日このようなニュースがありました。

SQLインジェクション対策もれの責任を開発会社に問う判決|徳丸浩の日記
http://blog.tokumaru.org/2015/01/sql.html

判決の是非については本コラムでは議論の対象外と致しますが、ITシステムを開発/運用する立場として、セキュリティを考慮することは必須であると言えるでしょう。

以降はWebセキュリティに関して的を絞って話を進めてまいりますが、行うべき対策としては主に以下が考えられます。

1. セキュアコーディング

 攻撃者やマルウェアなどの攻撃に耐えられる、堅牢なプログラムを書くことです。攻撃の脅威をあらかじめ想定し、攻撃に相当する操作を受けた場合にも攻撃者の意図通りの動作をしないようハンドリングするような仕組みを入れるなどの対策を盛り込みます。

2. セキュリティ診断

 現代のシステム開発においては、すべての機能を一からコーディングして実装することはなく、一部はフレームワークやミドルウェアの機能を利用してシステムを構築します。そしてシステム全体でセキュリティが担保されているかどうかを判断するためにペネトレーションテストを行います。コンピュータ用語としてのペネトレーションテストは「ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法」のことを指します。セキュリティ専門会社やITベンダーなどが提供しているサービスを利用して診断を行う場合と、NessusやKali Linuxなどの専用ツールを使用して診断を行う場合などがあります。

3. WAF(Webアプリケーションファイアウォール)

 Webアプリケーションの脆弱性を悪用した攻撃から保護するセキュリティ対策の一つです。実装面での根本的な対策ではなく、攻撃による影響を低減する運用面での対策にあたります。セキュアコーディングとWAFは排他的な関係ではなく相互補完的な関係にあると言えます。実装方式としてはアプライアンス、ソフトウェア、SaaSなど様々な形態がありますが、それぞれの実装方式にメリット/デメリットがありますので、その面を勘案して導入する必要があります。

 また、さらに実践的な知識/技術を身につけたいとお考えの方には、CTC教育サービスにおきましてWebセキュリティトレーニングのコースが用意されておりますので、こちらの受講をご検討いただければと思います。

CTC教育サービス Webセキュリティトレーニング
http://www.school.ctc-g.co.jp/websecurity/

 


 

 [IT研修]注目キーワード   OpenStack  OpenFlow/SDN  情報セキュリティ  Python  システムトラブルシュート