7/14(土)出版記念イベント
『BugハンターとめんどうくさいWebセキュリティ開催!詳細はこちら
セキュリティの本なのにおもしろい『めんどうくさいWebセキュリティ』
―まずは『めんどうくさいWebセキュリティ』について、簡単に説明お願いします。
ひとことでいうと、はせがわようすけを目指す人向け、でしょうか。
―その回答も掲載しますが、真面目な答えもお願いします。
はい。一番のターゲットはWebセキュリティの研究をしたいという人たちですね。
―Webセキュリティを研究したいひと…何人くらいいるんでしょうか。
1000人もいたら、世の中がもっと良くなっている人なので、本当にいるのは100人くらいかな。でも、この本で1000人くらいにしたいですね。
―Webセキュリティを研究する人がもっと増えるべき?
というか、Webの開発に携わる人は、セキュリティとは切っても切れない縁がある。あと、ちょっとセキュリティに興味があるんだけど…っていう人にも読んでもらいたいなァ。
―ターゲットが増えてきましたね。
この本、セキュリティの本なのにおもしろいんですよ。
―最初の章で、セキュリティの歴史がわかりますね。第1次ブラウザ戦争とか。あれは知っている人にとっては周知の歴史なんですか?
10年ぐらいWebをさわってたら、ぜったい同意できると思いますよ。笑える。15年さわってたら、もう完全に同意。ブラウザ戦争とか懐かしいっていう人たちは多いと思います。
Webセキュリティがめんどうくさい理由
―今回、書籍のタイトルが『めんどうくさいWebセキュリティ』ですね。Webセキュリティってめんどうくさいんですか?他のセキュリティにくらべて?
めんどうくさいですね。本当に。
―どのあたりがめんどうくさいのでしょうか。
他の、たとえばtelnetとかFTPとかSSHとかDNSとかSMTPなどなど…は、プロトコルのレベルで、ほとんどのセキュリティが決まっています。たとえば、認証機能、アクセス制御、全部プロトコルのレベルか、OSで用意したものをそのまま使える。だから、SSHのサーバーを立ち上げたいと思ったら、100人中99人はちゃんとセキュアに立ち上げられると思う。それは世界中の人が、同じOpenSSHっていうサーバーを使ってたりするから。FTPとかSMTPとかは1種類のサーバーソフトじゃないけど、メジャーなものをみんな使ってるから。
―でもWebは違う、と。
Webも、Apache,IISとあるけど、それだけじゃ静的なWebページしか作れない。HTTPっていうプロトコルは、超単純で、最初のバージョンなんて、A4用紙1枚におさまるレベル。「データ下さい」「はいよ」終了!くらいのもんです。HTTPは、もともとは、文書を転送するためのプロトコルとして作られていました。同時期にURLとHTMLができた。なので、HTTPのプロトコルのレベルだと認証機能もまともなのがないし、セッション管理もできないんです。でも、今はWebアプリケーションを使って、認証したり、買い物したり、いろんな機能を実現していますよね。
―していますね。
それらは、これが正しい作り方っていうのを誰も知らないまま作ってるんですよ。
―セオリーがない?
セキュアに作れるセオリーはあるんですけど、知らない。知ろうとしないのかも知れないけど。なので、ほとんどのWebアプリケーションはセキュアじゃない。
―それで高木浩光さんにしかられたりするんですね。
ですね。もっとも、セキュリティをやってる人たちでさえ、2003年頃はWebのセキュリティについては、まだまだ手探りでした。つい最近のことですよね。世界中でWebアプリケーションが5種類ぐらいなんだったら、今ごろは結構セキュアなのかもしれないけど、そうじゃないですしね。
―サービスの数だけ、Webアプリケーションがある。
だから、めんどうくさい。何でも自由にできるHTTPというプロトコルに真っ先に飛びついた人たちは、いろんな機能を実現しました。で、セキュリティは後追いになりました。後付けでセキュリティを作って行くのは、その機能を阻害しないようにするのは難しいこともあります。
―なるほど。できれば、これからWeb開発に携わる人が、最初からセキュアに作ってくれるのが理想ですよね。
ブラウザの会社が、勢いで「俺、こんな機能作ったぜ!」みたいなのを、後でセキュリティのことを考えるのめんどうくさい。
―たしかに、めんどうくさそうですね。
最初からセキュアに作ってくれたら、すごく楽だろうなァ…
―たしかに。上野さんも、そういうめんどうくさい思いをしているんですか。
してますよ。日々、めんどうくさいですね。
―どんな感じなんですか、そういう仕事の感じは。どんな風にめんどうくさいんですか。
次から次に新しい機能が登場して、そしてその機能の数を2乗したぐらいのセキュリティがあって、めんどうくさい。私は最先端の研究者じゃないので、特定の分野を深追いするのではなく、わりと固まってきた部分を、やさしく人に説明するのが仕事です。
―わりと固まってきた部分というのは?
世の中でセオリーになってもいいぐらい、常識的な方法。たとえば、SQLインジェクションできないようにするには、静的プレースホルダーを使えとか。でも、そういうセオリーだけでも使いこなせたら99%ぐらいのリスクは排除できると思います。
―なるほど。この本にはそういうことも書いてありますか?
セオリー書いてありますよ。基本はセオリー通りなんですよ。迷ったら、セオリー通り。新しいことが登場しても、基本的な戦略で対応可能。この本は比較的新しいことばかり書いていますけど、その対策はセオリー通りなんだなァと思いますよ。
―でも、それすら知らないで作ってる人が多いということですね。
そうなんです。
めんどうくさくて楽しい!―上野宣、日々の暮らし
―最後に上野さん自身の話をもう少し。上野さんは、どういうポジションなんでしょうか。バグハンターとか、セキュリティ技術者とか、そういうので言うと…教育者ですか?
何なんでしょうね。どう思われているんだろう。こないだ、三輪(信雄)さんが、白浜(シンポジウム)の帰りに「上野君って教育やってたんだー」って(笑)。いやいやその会社(株式会社トライコーダ)ですから!って思いましたけど。
―メディアの人でもあるんですよね。仕事の割合はどれくらいですか?
教育が大半ですかね。なにをもって「仕事」とするのかが微妙なところですが。ボランティアばっかりやってますし。
―そうなんですか…
4月5月はボランティアで終わりました。お金稼いでいません(笑)!
―ええ!暮らしていけるんですか?
他の月に稼いでおいて…
―セキュリティの仕事は儲からない?
セキュリティの仕事がどうということじゃなくて、他の人は会社に勤めているから、ボランティアしても給料あるからいいけど、僕はボランティアやると、本当にボランティアだけになっちゃうので、お金ないです(笑)。お金をもらって海外のカンファレンスに行ったことはないですよ!
―傍から拝見していると、優雅そうに見えるんですよね。走ったり、野菜作ったり、甘いものを食べたりして…
お前本当に楽しそうだなってよく言われますよ。
―楽しいですか?
楽しいですよ。趣味を仕事にしたので楽しくないわけがない!
―でも、めんどうくさい。
めんどうくさい!
―今日はめんどうくさい中、どうもありがとうございました!
Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳)
価格: ¥ 3,129
ブラウザセキュリティの第一人者による広くて深い1冊!
「Webセキュリティ」と聞くと、どうにも腰を上げるのが億劫になってしまいがち。けれども、Webの原動力を支えるには必要不可欠な技術要件。その現状を、深い洞察とともにコンパクトにまとめました。
Webアプリケーションセキュリティの世界で何が起きているか、その現状をシステマチックかつ徹底的な分析をした初めての本です。
7/14(土)出版記念イベント
『BugハンターとめんどうくさいWebセキュリティ開催!詳細はこちら
