Web制作、Web開発の歩き方

データベース、インフラとNestJS
第1話:データベースを使う意義
第2話:データベースの種類、選び方
第3話:AWS LightsailにReactをデプロイしよう
第4話:created at、updated atを使おう(データベース)
第5話:Dockerの全体像
第6話:Dockerを使おう
第7話:Cookieの各種設定項目
第8話:MicroK8sとは
第9話:MicroK8sを使おう
第10話:検索パフォーマンスを上げよう
第11話:MySQL5からMySQL8へのアップグレードにおける注意点
第12話:MySQLからMariaDBへのリプレース
第13話:APIの基礎知識
第14話:APIの設計と開発
第15話:APIの実際の利用とベストプラクティス
第1話:Webアプリケーションのセキュリティ概要
第2話:インジェクション攻撃とその対策
第1話:なぜNestJSを使うのか
第2話:Module, Controller, Serviceの役割
第3話:ORMとデータベース操作1-ユーザ登録
第4話:ORMとデータベース操作2-ハッシュ化とバリデーション

Webアプリケーションのセキュリティ基礎

■第1話:Webアプリケーションのセキュリティ概要

(最終更新日:2023.10.08)

APIのイメージ
この記事は5分で読めます!
(絵が小さい場合はスマホを横に)

「安全なウェブアプリケーションを開発しよう!」

ここ20年で、インターネットの普及と共に、ウェブアプリケーションの利用が急激に増加している。 これに伴い、情報の漏洩や不正利用などのリスクも高まり、ウェブアプリケーションにおけるセキュリティの確保が益々重要になってきている。 事業の信頼性を維持し、顧客や利用者の情報を守るためにも、適切なセキュリティ対策を講じることが必要不可欠だ。 今回から数回に分けて、ウェブアプリケーションのセキュリティに関する基礎的な内容を紹介する。


1.CIAの原則 (Confidentiality, Integrity, Availability)

セキュリティの基本的な考え方に「CIAの原則」というものがある。 これは、情報セキュリティの3つの基本的な要件を示す。

まず「Confidentiality(機密性)」とは、情報が不正な手段でアクセスされることなく、適切に保護されることを意味する。 例えば、ログイン管理でユーザーによってアクセスできるページやデータを限定し、保護するということが充る。 さらに、クレジットカード情報を暗号化して送るなどといったケースもこれに充る。

次に「Integrity(完全性)」は、情報が正確であり、不正な変更や破壊から守られることを示す。 例えば、SQLインジェクションによって意図しないデータの削除、変更されることを防ぐことがそれに充る。

最後に「Availability(可用性)」は、必要なときに、正確な情報に確実にアクセスできることを保証するものである。 外部からの攻撃(DDos攻撃など)により、サービスが使用できないといった侵害から守り、常に稼働しつづけることを意味する。

Webシステムに限らず、情報システムを構築する際は、これら3つの要件を満たすことを目指す。

CIAの原則

2.ウェブアプリケーションの脅威の概要

ウェブアプリケーションは、インターネットを通じてさまざまな脅威にさらされている。 外部の攻撃者によるサイバー攻撃、組織の内部からの情報の不正利用、そして物理的な脅威や天災など、多岐にわたるリスクが存在する。 これらの脅威がリアルタイムで変化していく中、常に最新の脅威情報をキャッチアップし、対策を講じる必要がある。

日本では、IPA(情報処理推進機構)の情報セキュリティページで各種脆弱性に関する情報を配信している。 少なくとも、ここは見ておくようにしよう。不正アクセスの統計情報や基本的なセキュリティ対策の方法など、有用な情報が詰まっている。 また、最新の情報セキュリティ10大脅威というトピック、解説書も毎年発表しているので、見ておこう。企業、個人、両面でのリスクを紹介している。

あとは、CERT/CCで、 国や地域ごとのセキュリティ関連の脅威やインシデントに関する情報を公開している。 日本はJPCERT/CCというページになる。

これに加えて、日頃からソフトウェアやセキュリティに関するニュース、ブログを見ていれば、新たな脅威を早めに知ることができるはずだ。 早く認知し、適切に対応することを心掛けよう。

サイバーセキュリティニュース

3.代表的なセキュリティリスク: OWASP Top 10

ウェブアプリケーションのセキュリティリスクを具体的に把握するための一つの指標として、 OWASP (Open Web Application Security Project) が公表している「OWASP Top 10」というリストがある。 このリストは、ウェブアプリケーションにおける最も危険なセキュリティリスクをランキング形式で示しており、 例としては、インジェクション攻撃や認証の欠陥、クロスサイトスクリプティング(XSS)などがよく挙がっている。

脅威のランキングは3~4年に一回更新される。SQLインジェクションやクロスサイトスクリプティングが1位だった2017年に比べて、 2021年ではアクセス制御の不備が1位になっている。そろそろ新しいランキングが出るタイミングなので、 数年に一回は確認するようにしよう。こちらがその日本版のリンクである。


4.基本的なセキュリティ対策の紹介

セキュリティ対策は、ウェブアプリケーションを安全に運用するための必須のステップだ。 これには、セキュアなコーディングの実践や、定期的なセキュリティ監査、ペネトレーションテストが含まれる。 また、従業員や開発者のセキュリティ意識を高めるための教育や啓発活動も、効果的な対策として欠かせない。

具体的なセキュリティ対策の方法に関しては、次回からのトピックとして紹介する。 加えて、IPAが無料で出している安全なウェブサイトの作り方が非常に参考になる。 是非、ここを見て勉強しておこう。

セキュリティマニュアル

5.まとめ

今回、Webアプリケーションのセキュリティの概要を説明した。 CIAの法則に基づいてシステムの安全性を確保すること、最新の脅威についてキャッチアップすることなどが重要になってくる。 基本的なセキュリティ確保の方法は次回から紹介する。 安全なウェブサイトを構築できるよう、日々努力を続けよう。


▼参考図書、サイト

   情報セキュリティ  情報処理推進機構
   JPCERT/CC  一般社団法人JPCERTコーディネーションセンター
   OWASP Top 10 - 2021  OWASP