ニュース
あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由:「2段階認証を実装していたのに不正アクセス」 なぜなのか(1/2 ページ)
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。
「Webサイトの脆弱(ぜいじゃく)性が悪用され、情報漏えいが発生した」――こうした報道や過去のセキュリティインシデントを教訓に、Webアプリケーションのセキュリティを意識し、設計段階からセキュリティを考慮し、脆弱性を修正した上でリリースしようとする企業の動きは以前に比べて広がりつつある。
だがそれでも“残念な”セキュリティインシデントは根絶できていないのが実情だ。
EGセキュアソリューションズのCTO(最高技術責任者)としてセキュリティ対策の支援に当たり、さらに「徳丸本」こと『安全なWebアプリケーションの作り方』やYouTubeを通じてセキュリティの啓発活動に携わる徳丸 浩氏が、@IT主催の「Cloud Native Week 2023夏」基調講演に登壇。架空のWebサービス「オニギリペイ」を例に、セキュリティを意識して作られつつあるWebアプリケーションのどこに落とし穴があるのか、解説した。
オニギリペイを再度襲った悲劇
「オニギリペイ」は、徳丸氏による過去の講演でもたびたび登場してきた架空のQRコード決済サービスだ。よかれと思ってさまざまな施策を講じてみるものの、見落としやミスが残っており、残念ながら何度も不正アクセスの餌食になってしまうちょっとかわいそうなサービスで、今回も例外ではなかった。
関連記事
- 架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 - 「ランサムウェア攻撃にやられたらどうする」、Gartnerが説く組織としての効果的な備えとは
ランサムウェア対策では、防御やデータ保護のテクノロジーに注目が集まりがちだが、Gartnerはインシデント発生時の全社的な対応を明確化しなければならないと強調する。身代金の支払いについてのアドバイスもできる必要がある。セキュリティ担当アナリストに対策のポイントを聞いた。 - 半数以上がAIでコードチェック実施 全世界のDevSecOps担当者に聞いた開発の実態
GitLabはDevSecOpsに関する調査の結果を発表した。AI/MLによるコードチェックやテストプロセスでのbotの使用の増加が目立つDevSecOps担当者のセキュリティへの取り組みや、回答を寄せたDevSecOps担当者のコメントを紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.