Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2015年7月20日
最終更新日:2016年4月20日

「基本がわかる安全設計のWebシステム」を読んでみた

「基本がわかる安全設計のWebシステム」が Amazon から届いたので、早速読んでみました。

Web システム開発で一番不幸なのは、セキュリティ対策を行わないで、リリース後に問題が発覚して炎上してしまうことです。そうすると、社会的信頼も失いますし損失も大きなものになってしまいます。

実際、以下のように SQL インジェクションの対策もれで開発会社に責任を認め、賠償金を支払うよう判決が出た裁判もあります。

その次に不幸なのは、リリース前に脆弱性診断を行ったら、脆弱性の影響範囲が大きく、上流工程まで手戻りが起きて、予算とスケジュールが超過し炎上プロジェクトに一変してしまうことです。

本書は、 そのようにならないために PM と SE をメインの対象者として、「Web システム」を安全に構築・運用できるためのノウハウがまとめられた入門書です。

また、本書は簡潔で的を射た内容になっています。プログラム言語が一切登場しないので、PM や SE だけでなく営業や発注者の方にもおすすめできる良書です。

どのような点がよかったかというと、Web システムのセキュリティは誰にあるのか、脆弱性が発見されたときどのようなことが起きるのか、なぜ脆弱性を作りこんでしまうのか、から始まって、具体的にどのような対処をしていけばよいのかが明示されているところです。やってはいけないこと、やるべきことが記載されているのもいいですね。

「Web システム」と言っているだけあって、インフラの IDS, IPS, WAF, DNS やログにページ数を割いているのもよかったです。運用フェーズに入ったら、こちらの方が脆弱性対策のメインになりますからね。

感心したのは、最近起きた POODLE や HeardBleed、FREAK という脆弱性を取り上げて、現在使用可能な SSL/TLS のバージョンまで記載があったことです。SQLインジェクション対策では、「動的プレースホルダ」と「静的プレースホルダ」の言及がありました。クロスサイトスクリプティング(XSS) でも、反射型XSS、持続型XSS、DOM based XSS の解説もされていました。

基本的な部分だけでなく、新しいこと、少し踏み込んだところまでまとめられているのは、少ないページ数でよく頑張ったなという感想を持ちました。

持ち上げっぱなしなのもアレなので、ちょっと気になったところを。

「秘密の質問」については、勧めてはいない感じでしたが、Google が効果を否定する研究結果を出しているので、今後のことも考慮し「今後は非推奨」として欲しかったところです。

あと、パスワードの定期変更については、効果はないとは言えないですが費用対効果が低いことに触れて欲しかったな、とも思いました。少なくとも、Web サービスでは消えて欲しいと考えているので。
 
つらつらと感想などを書いてきましたが、数少ない Web システムセキュリティの良書だと思うので、ご一読されてみてはいかがでしょうか。

 


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA