SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座

セキュリティ機器よもやま話。そしてなぜ、ワフ(WAF)は素人に好かれ玄人に嫌われるのか?


ウェブアプリ、穴があるならセキュリティ機器を入れればいいじゃない!最近ではオールインワンだのワフだのいろいろ出ていますが、あれを入れておけば大丈夫なんでしょうか?本当に?教えて、三輪先生!

セキュアなWebアプリが作れない理由

小泉

ホームページの改ざんなどは10数年以上も前から続いていますが、最近では改ざんではなくクレジットカードなどの個人情報を狙ったホームページへの侵入事件が相次いでいるようです。なぜいつまでもちゃんと防ぐことができないのでしょうか。

三輪

よく「セキュリティはいたちごっこだ」と言われることが多いのですが、ホームページへの攻撃に関しては、むしろ「いつまでも穴を作り続けること」の方が主な原因となっています。

小泉

いつまでも穴を掘り続けるというのはどういう意味ですか?

三輪

ホームページは静的コンテンツ、つまりindex.htmlのような固定のファイルだけでできているページだけでなく、動的コンテンツ、つまり、プログラムによって毎回作り出されているページも多く使われています。たとえば、ログイン後のユーザーごとの画面や掲示板などがそうです。

小泉

ホームページには、静的コンテンツと動的コンテンツがある。はい。ここまではOKです。

三輪

で、動的コンテンツというのは毎回プログラムで生成されているため、多くのプログラムがホームページのサーバ(Webサーバ)で動いており、そのプログラムをWebアプリケーションと言います。このWebアプリにハッカーの攻撃を許してしまうセキュリティホール、いわゆる脆弱性があるとそこから情報が盗まれたり、ウイルスをばら撒くサイトになったりしてしまうのです。

小泉

なるほど。Webアプリに穴がなければホームページは守れるということでしょうか。

三輪

それはすなわち、脆弱性のないプログラムを開発できれば、そこから侵入されることがなくなるということです。しかし、忙しく厳しい開発の現場の実情などもあり、Webアプリに脆弱性が作りこまれてしまうんですね。

小泉

劣悪な労働環境が品質を低下させている?

三輪

Webアプリの開発はどんどん開発価格が抑えられていっており、大学生がアルバイトでシステム開発会社でプログラミングをしていることも珍しくありません。しかも元請ではなく、ひ孫請けのような形態だったりもします。

小泉

そのような現場で「セキュアなプログラミング」と言ってもなかなか浸透しない。

三輪

だって「セキュリティに十分に注意した開発をして欲しいから料金は2割り増し払う」なんて会社はないですよ。「欠陥はなくて当たり前」という考えが主流で、そもそもセキュリティにお金を払おうという考えがない。したがって、納期に追われ料金を下げられているような現状ではとてもセキュリティなど望むべくもないですよ。

小泉

ではプログラミングから解決することは難しいというわけですね。

三輪

ごくわずかな会社がセキュリティに注意したプログラミング、セキュアプログラミングを自主的に行っていますが、それを開発単価に反映することは今でも難しいようですね。

次のページ
アプリが穴なら機械を入れればいいじゃない!

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座連載記事一覧

もっと読む

この記事の著者

小泉 真由子(編集部)(コイズミ マユコ)

情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

三輪 信雄(ミワ ノブオ)

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/2140 2010/02/01 12:33

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング