Webセキュリティの小部屋

Webアプリケーションセキュリティ

Webアプリケーションのセキュリティを学習するための、信頼できる資料・サイト・書籍をご紹介します。

• 安全なウェブサイトの作り方
  
  • IPAが提供しているWebアプリケーションセキュリティの教科書ともいうべき資料(PDF)なので、まずはここから学習しましょう。セキュリティ実装チェックリストも役に立ちます。
  • 別冊の「安全なSQLの呼び出し方」も必読です。
• 『DOM Based XSS』に関するレポート
  • こちらもIPAが提供している DOM Based XSS に関するレポートです。これは JavaScript で動的に HTML を組み立てるときにクロスサイト・スクリプティングの脆弱性が発生する原因と対処方法について解説されています。
• [書籍]体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
  • 「徳丸本」として親しまれているWebアプリケーションセキュリティの定番本の第2版です。Web開発者なら必読の書ですね。
• [書籍]基本がわかる安全設計のWebシステム
  • プログラム言語での説明がなく、分かりやすい入門書ですので、PM、SE 方にも読んで欲しい書籍ですね。
  • [レビュー]「基本がわかる安全設計のWebシステム」を読んでみた
• セキュア・プログラミング講座
  • IPAが提供しているWeb講座です。「安全なウェブサイトの作り方」より実装よりの解説がされています。
• Webシステム／Webアプリケーションセキュリティ要件書
  • 視点は開発者から発注者に変わっていますが、Webアプリケーションにどのようなセキュリティ要件を要求するべきか具体的に書かれています。現在は、OWASP から提供されているようですね。
• 「Webシステム　セキュリティ要求仕様（RFP）」編　β版
  • システム要件に応じて、RFPにどのセキュリティ要件を盛り込めばよいかマトリックス形式で解説してある資料です。

脆弱性情報

Webアプリケーションを安全に運用するためには日々の脆弱性などの情報収集と、パッチ適用などの運用がかかせません。ここでは主な脆弱性情報を掲載しているサイトをご紹介します。

• Japan Vulnerability Notes
  • 脆弱性情報収集の基本サイトです。メジャーな製品からそうでない製品まで幅広く脆弱性情報を公開しています。脆弱性のある製品へのリンクや、脆弱性情報を扱うCVEやJPCERT/CCの情報も掲載されています。
  • 基本的にこのサイトの情報をポータルとしてチェックして、必要に応じてベンダー情報、CVE、JPCERTにアクセスするとよいと思います。
  • 但し、緊急性のある脆弱性情報がどこかで公開されたときは直接ベンダー情報にアクセスするようにしてください。意外にニュースサイトの情報が一番早いことがありますので。
• 脆弱性対策情報、【注意喚起】
  • IPAが注意喚起が必要だと判断した脆弱性情報が掲載されています。時々チェックするとよいかと思います。