あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由「2段階認証を実装していたのに不正アクセス」 なぜなのか(1/2 ページ)

過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。

» 2023年09月01日 05時00分 公開
[高橋睦美@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「Webサイトの脆弱(ぜいじゃく)性が悪用され、情報漏えいが発生した」――こうした報道や過去のセキュリティインシデントを教訓に、Webアプリケーションのセキュリティを意識し、設計段階からセキュリティを考慮し、脆弱性を修正した上でリリースしようとする企業の動きは以前に比べて広がりつつある。

EGセキュアソリューションズ CTO 徳丸 浩氏 EGセキュアソリューションズ CTO 徳丸 浩氏

 だがそれでも“残念な”セキュリティインシデントは根絶できていないのが実情だ。

 EGセキュアソリューションズのCTO(最高技術責任者)としてセキュリティ対策の支援に当たり、さらに「徳丸本」こと『安全なWebアプリケーションの作り方』やYouTubeを通じてセキュリティの啓発活動に携わる徳丸 浩氏が、@IT主催の「Cloud Native Week 2023夏」基調講演に登壇。架空のWebサービス「オニギリペイ」を例に、セキュリティを意識して作られつつあるWebアプリケーションのどこに落とし穴があるのか、解説した。

オニギリペイを再度襲った悲劇

 「オニギリペイ」は、徳丸氏による過去の講演でもたびたび登場してきた架空のQRコード決済サービスだ。よかれと思ってさまざまな施策を講じてみるものの、見落としやミスが残っており、残念ながら何度も不正アクセスの餌食になってしまうちょっとかわいそうなサービスで、今回も例外ではなかった。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。