SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座

セキュリティ機器よもやま話。そしてなぜ、ワフ(WAF)は素人に好かれ玄人に嫌われるのか?


ウェブアプリ、穴があるならセキュリティ機器を入れればいいじゃない!最近ではオールインワンだのワフだのいろいろ出ていますが、あれを入れておけば大丈夫なんでしょうか?本当に?教えて、三輪先生!

セキュアなWebアプリが作れない理由

小泉

ホームページの改ざんなどは10数年以上も前から続いていますが、最近では改ざんではなくクレジットカードなどの個人情報を狙ったホームページへの侵入事件が相次いでいるようです。なぜいつまでもちゃんと防ぐことができないのでしょうか。

三輪

よく「セキュリティはいたちごっこだ」と言われることが多いのですが、ホームページへの攻撃に関しては、むしろ「いつまでも穴を作り続けること」の方が主な原因となっています。

小泉

いつまでも穴を掘り続けるというのはどういう意味ですか?

三輪

ホームページは静的コンテンツ、つまりindex.htmlのような固定のファイルだけでできているページだけでなく、動的コンテンツ、つまり、プログラムによって毎回作り出されているページも多く使われています。たとえば、ログイン後のユーザーごとの画面や掲示板などがそうです。

小泉

ホームページには、静的コンテンツと動的コンテンツがある。はい。ここまではOKです。

三輪

で、動的コンテンツというのは毎回プログラムで生成されているため、多くのプログラムがホームページのサーバ(Webサーバ)で動いており、そのプログラムをWebアプリケーションと言います。このWebアプリにハッカーの攻撃を許してしまうセキュリティホール、いわゆる脆弱性があるとそこから情報が盗まれたり、ウイルスをばら撒くサイトになったりしてしまうのです。

小泉

なるほど。Webアプリに穴がなければホームページは守れるということでしょうか。

三輪

それはすなわち、脆弱性のないプログラムを開発できれば、そこから侵入されることがなくなるということです。しかし、忙しく厳しい開発の現場の実情などもあり、Webアプリに脆弱性が作りこまれてしまうんですね。

小泉

劣悪な労働環境が品質を低下させている?

三輪

Webアプリの開発はどんどん開発価格が抑えられていっており、大学生がアルバイトでシステム開発会社でプログラミングをしていることも珍しくありません。しかも元請ではなく、ひ孫請けのような形態だったりもします。

小泉

そのような現場で「セキュアなプログラミング」と言ってもなかなか浸透しない。

三輪

だって「セキュリティに十分に注意した開発をして欲しいから料金は2割り増し払う」なんて会社はないですよ。「欠陥はなくて当たり前」という考えが主流で、そもそもセキュリティにお金を払おうという考えがない。したがって、納期に追われ料金を下げられているような現状ではとてもセキュリティなど望むべくもないですよ。

小泉

ではプログラミングから解決することは難しいというわけですね。

三輪

ごくわずかな会社がセキュリティに注意したプログラミング、セキュアプログラミングを自主的に行っていますが、それを開発単価に反映することは今でも難しいようですね。

次のページ
アプリが穴なら機械を入れればいいじゃない!

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座連載記事一覧

もっと読む

この記事の著者

小泉 真由子(編集部)(コイズミ マユコ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

三輪 信雄(ミワ ノブオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/2140 2010/02/01 12:33

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング