Webアプリケーションセキュリティに終わりはない!
午後の部も終え、星野君と赤坂さんが帰ろうと準備をしていると、そこへ高橋さんが話し掛けてきた。
高橋さん 「お疲れさまー。どうだった?楽しかった?」
星野君 「はい。すごいためになりましたっ!……というか、高橋さんが講師をやるなんて聞いてなかったからびっくりしましたよ」
高橋さん 「普段会社にいないことが多いから、たまには仕事してるってところを見せておかないとって思ってね」
星野君 「いやー、ホントびっくりしましたよ。高橋さんすごいっすね」
高橋さん 「別にすごくはないよー。赤坂さんはどうだった?」
赤坂さん 「バッチリ高橋さんの勇姿を目に焼き付けておきましたよっ!」
高橋さん 「へぇー。目開けてなかったのにすごいね」
赤坂さん 「う……。寝てたのがバレてる……」
高橋さん 「これから懇親会に出るんだけど付いてくる?いろんな話聞けて楽しいと思うよ」
星野君 「え?付いていってもいいんですか?」
高橋さん 「うん、いいよ。来る?」
星野君 「はいっ!付いていきますっ!」
懇親会では、Webアプリケーションに関する仕事にかかわる人たちとさまざまな意見交換をすることができた。星野君にはまだまだ勉強しなければならないことがたくさんあるようだ。星野君の奮闘の日々はまだまだ続きそうだ。
星野君のWebアプリ・チェックポイント!
Check!
テスト項目を用意しよう
各脆弱性に対して、必ずテスト項目を用意して検査を行おう。脆弱性の大半は簡単な検査パターンを試すだけで防ぐことが可能だ
Check!
漏れが生じないように攻撃者の視点で検査を行おう
ユーザー視点での検査では、脆弱性を見落としてしまう場合が多い。また、自分ではちゃんと作ったつもりでも、実際には正しく機能していない場合もあるので、ブラックボックステストで検査を行おう
Check!
リリース前に必ず検査を行おう
用意したテスト項目が正しく実施されているかを管理し、テストが実施されていない状態のままシステムがリリースされることがないようにしよう
Profile
杉山 俊春(すぎやま としはる)
三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント
セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。
Copyright © ITmedia, Inc. All Rights Reserved.