これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
CTC 教育サービス
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes
先日このようなニュースがありました。
SQLインジェクション対策もれの責任を開発会社に問う判決|徳丸浩の日記
http://blog.tokumaru.org/2015/01/sql.html
判決の是非については本コラムでは議論の対象外と致しますが、ITシステムを開発/運用する立場として、セキュリティを考慮することは必須であると言えるでしょう。
以降はWebセキュリティに関して的を絞って話を進めてまいりますが、行うべき対策としては主に以下が考えられます。
攻撃者やマルウェアなどの攻撃に耐えられる、堅牢なプログラムを書くことです。攻撃の脅威をあらかじめ想定し、攻撃に相当する操作を受けた場合にも攻撃者の意図通りの動作をしないようハンドリングするような仕組みを入れるなどの対策を盛り込みます。
現代のシステム開発においては、すべての機能を一からコーディングして実装することはなく、一部はフレームワークやミドルウェアの機能を利用してシステムを構築します。そしてシステム全体でセキュリティが担保されているかどうかを判断するためにペネトレーションテストを行います。コンピュータ用語としてのペネトレーションテストは「ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法」のことを指します。セキュリティ専門会社やITベンダーなどが提供しているサービスを利用して診断を行う場合と、NessusやKali Linuxなどの専用ツールを使用して診断を行う場合などがあります。
Webアプリケーションの脆弱性を悪用した攻撃から保護するセキュリティ対策の一つです。実装面での根本的な対策ではなく、攻撃による影響を低減する運用面での対策にあたります。セキュアコーディングとWAFは排他的な関係ではなく相互補完的な関係にあると言えます。実装方式としてはアプライアンス、ソフトウェア、SaaSなど様々な形態がありますが、それぞれの実装方式にメリット/デメリットがありますので、その面を勘案して導入する必要があります。
また、さらに実践的な知識/技術を身につけたいとお考えの方には、CTC教育サービスにおきましてWebセキュリティトレーニングのコースが用意されておりますので、こちらの受講をご検討いただければと思います。
CTC教育サービス Webセキュリティトレーニング
http://www.school.ctc-g.co.jp/websecurity/
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes
