「イントラWebアプリケーションのセキュリティ」、大丈夫ですか？：システムインテグレーションとセキュリティ（3）（2/3 ページ）

[寺岡亮（ラック），＠IT]

イントラ環境でのセキュリティのポイントと実装すべき重要項目

　インターネットに公開するアプリケーションの場合は、当然ながらIPAやOWASPが公開している脆弱性を全て解消する必要があります。では、イントラ環境のように利用者が社内に限られているWebアプリケーションの場合はどうでしょうか？ もちろん、この場合にも全ての脆弱性に対処できれば良いのですが、限られたリソースの中で内部向けシステムにそれだけの対策を施すのは現実的に難しいことが多いでしょう。

　筆者は、数ある脆弱性対策の中でも、特に優先して取り組むべきものは下記の3つだと考えています。それはこれらの脆弱性が内部犯行で悪用された場合に、機密情報などを盗まれるリスクが高いからです。

1. ユーザー管理対策
2. SQLインジェクション対策
3. ディレクトリトラバーサル対策

　そこで以下では、これら3つの脆弱性対策について、「既存のイントラ環境のWebアプリケーションの改修」という状況を想定して、具体的な手順を解説していきます。

イントラ環境のWebアプリケーションの改修手順

　以下では、ユーザー部門によりEUCで作成されたWebアプリケーションに改修を加えるケースを想定し、セキュリティに配慮した手順を紹介します。こうしたWebアプリケーションの中には、開発から長い期間が経過しており、“継ぎはぎだらけ”のものもよくあるため、作業は慎重に進めなければなりません。

1．現状分析

　改修を行うに当たり、まずは事前に現状の確認を行います。

【設定状況の確認】

　アプリケーション自体はユーザー部門が作成していても、環境構築は情報システム部門が行っている場合があります。従って、まずは情報システム部門の協力を得つつ、Webサーバの設定やプログラムのバージョン情報（PHPやPerlのバージョンなど）、使用しているアプリケーションフレームワークなどを確認します。

【ソースコードの確認】

　ツールなどを使用して開発されたアプリケーションの場合、ソースコードの管理が行われていない場合もありますが、管理されている／いないということも含めてソースコードの管理状況を確認します。また、実行ファイル型のアプリケーションなど、そもそもソースコードの確認ができない場合は、現状の仕様を可能な範囲で確認します。

【リリース手順の確認】

　改修に当たり、リリース手順を事前に確認します。リポジトリの操作手順を確認したり、手作業の場合は、修正したファイルを置く場所の確認、要／不要ファイルの選別を行ったりします。