Webアプリケーションセキュリティ
Webアプリケーションのセキュリティを学習するための、信頼できる資料・サイト・書籍をご紹介します。
- 安全なウェブサイトの作り方
- IPAが提供しているWebアプリケーションセキュリティの教科書ともいうべき資料(PDF)なので、まずはここから学習しましょう。セキュリティ実装チェックリストも役に立ちます。
- 別冊の「安全なSQLの呼び出し方」も必読です。
- 『DOM Based XSS』に関するレポート
- こちらもIPAが提供している DOM Based XSS に関するレポートです。これは JavaScript で動的に HTML を組み立てるときにクロスサイト・スクリプティングの脆弱性が発生する原因と対処方法について解説されています。
- [書籍]体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 「徳丸本」として親しまれているWebアプリケーションセキュリティの定番本の第2版です。Web開発者なら必読の書ですね。
- [書籍]基本がわかる安全設計のWebシステム
- プログラム言語での説明がなく、分かりやすい入門書ですので、PM、SE 方にも読んで欲しい書籍ですね。
- [レビュー]「基本がわかる安全設計のWebシステム」を読んでみた
- セキュア・プログラミング講座
- IPAが提供しているWeb講座です。「安全なウェブサイトの作り方」より実装よりの解説がされています。
- Webシステム/Webアプリケーションセキュリティ要件書
- 視点は開発者から発注者に変わっていますが、Webアプリケーションにどのようなセキュリティ要件を要求するべきか具体的に書かれています。現在は、OWASP から提供されているようですね。
- 「Webシステム セキュリティ要求仕様(RFP)」編 β版
- システム要件に応じて、RFPにどのセキュリティ要件を盛り込めばよいかマトリックス形式で解説してある資料です。
脆弱性情報
Webアプリケーションを安全に運用するためには日々の脆弱性などの情報収集と、パッチ適用などの運用がかかせません。ここでは主な脆弱性情報を掲載しているサイトをご紹介します。
- Japan Vulnerability Notes
- 脆弱性対策情報、【注意喚起】
- IPAが注意喚起が必要だと判断した脆弱性情報が掲載されています。時々チェックするとよいかと思います。
