安全なWebアプリケーションの実現に向けて：星野君のWebアプリほのぼの改造計画（最終回）（3/3 ページ）

[杉山俊春, Illustrated by はるぷ，三井物産セキュアディレクション株式会社]

Webアプリケーションセキュリティに終わりはない！

　午後の部も終え、星野君と赤坂さんが帰ろうと準備をしていると、そこへ高橋さんが話し掛けてきた。

高橋さん　「お疲れさまー。どうだった？楽しかった？」

星野君　「はい。すごいためになりましたっ！……というか、高橋さんが講師をやるなんて聞いてなかったからびっくりしましたよ」

高橋さん　「普段会社にいないことが多いから、たまには仕事してるってところを見せておかないとって思ってね」

星野君　「いやー、ホントびっくりしましたよ。高橋さんすごいっすね」

高橋さん　「別にすごくはないよー。赤坂さんはどうだった？」

赤坂さん　「バッチリ高橋さんの勇姿を目に焼き付けておきましたよっ！」

高橋さん　「へぇー。目開けてなかったのにすごいね」

赤坂さん　「う……。寝てたのがバレてる……」

高橋さん　「これから懇親会に出るんだけど付いてくる？いろんな話聞けて楽しいと思うよ」

星野君　「え？付いていってもいいんですか？」

高橋さん　「うん、いいよ。来る？」

星野君　「はいっ！付いていきますっ！」

　懇親会では、Webアプリケーションに関する仕事にかかわる人たちとさまざまな意見交換をすることができた。星野君にはまだまだ勉強しなければならないことがたくさんあるようだ。星野君の奮闘の日々はまだまだ続きそうだ。

星野君のWebアプリ・チェックポイント！

Check！
テスト項目を用意しよう

各脆弱性に対して、必ずテスト項目を用意して検査を行おう。脆弱性の大半は簡単な検査パターンを試すだけで防ぐことが可能だ

Check！
漏れが生じないように攻撃者の視点で検査を行おう

ユーザー視点での検査では、脆弱性を見落としてしまう場合が多い。また、自分ではちゃんと作ったつもりでも、実際には正しく機能していない場合もあるので、ブラックボックステストで検査を行おう

Check！
リリース前に必ず検査を行おう

用意したテスト項目が正しく実施されているかを管理し、テストが実施されていない状態のままシステムがリリースされることがないようにしよう

Profile

杉山　俊春（すぎやま　としはる）

三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント

セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。

「星野君のWebアプリほのぼの改造計画」バックナンバー

• 安全なWebアプリケーションの実現に向けて
• マルチバイトの落とし穴
• 隠されていたSQLインジェクション
• メールアドレスの登録チェックが、余計なお世話に？
• 公開中のHTMLファイルがごっそり消失！？
• Cookie Monster襲来！ 戦え、星野君
• Flashで作ったゲームも攻撃対象になるんです！
• まこと先輩と星野君とCSRFの微妙な関係
• Webアプリ、入力チェックで万事OK？
• 誰でもWeb管理画面に入れる気前のいい会社
• セミナー申し込みフォームがスパムの踏み台？