検索
ニュース

セキュリティ担当者がよく使う5つのプログラミング言語、何が役立つのか?ESETのリサーチャーがレビュー

セキュリティ企業のESETが、サイバーセキュリティ分野で最も使用されている5つのプログラミング言語をレビューした。それぞれの主な利点とは。何のためにどう使われているのか。

Share
Tweet
LINE
Hatena

 セキュリティ企業のESETは2023年9月27日(米国時間)、同社のリサーチャーや研究者の知見を掲載する公式ブログ「WeLiveSecurity」で、サイバーセキュリティ分野で最も使用されている5つのプログラミング言語をレビューし、それぞれの主な利点に焦点を当てるエントリを公開した。以下、その内容を要約する。

 CやC++、Java、Bash、Go、Rubyなど、サイバーセキュリティで広く使用されているプログラミング言語は他にもあるが、今回は以下の5つをレビューする。

Python

 Pythonは、ツールとライブラリの広範なコレクション、使いやすさ、他のプラットフォームや技術との互換性、さらには活発な開発者コミュニティーがあることで知られている。これらによって、サイバーセキュリティ分野で広く使われているプログラミング言語となり、反復的なタスクの自動化、監査、フォレンジック分析、マルウェアの分析によく使用される。

 スクリプト言語として、マルウェアを分析してそこから情報を抽出したり、その構成を解読したり、その他の低レベル分析を実行したりするなど、特定の問題を解決するのに役立つ。

PHP

 PHPはWeb開発で一般的に使用されているが、サイバーセキュリティにも適用できる。例としては、PHPベースのWebアプリケーションの分析や、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱(ぜいじゃく)性の検索が挙げられる。

 PHPは、ログを分析してWebアプリケーションやWebサーバの不審な動作を特定し、セキュリティ侵害や、セキュリティ侵害を示す可能性のある動作パターンを探すのにも役立つ。

 他の言語でもセキュリティツールを開発できるが、PHPを使うと、Webユーザーインタフェースをカスタマイズして作成したり、さまざまなセキュリティ機能をコントロールパネルに統合したりすることもできる。

JavaScript

 「JS」という略称でも知られるJavaScriptは、インタープリタ型のオブジェクト指向のスクリプトプログラミング言語だ。Webサイト、モバイル、ゲームといったアプリケーションの開発に広く使われている。

 Webアプリケーションのセキュリティ(および関連する脆弱性)を調べたい場合、JavaScriptをよく理解することが、セキュリティ担当者のキャリアにとって重要になる。

 サイバーセキュリティの分野では、マルウェア分析、つまり悪意のあるファイルや Webサイトで見つかったコードの分析に使える。物理コンピュータの侵害の可能性を回避するために仮想マシンまたは隔離された環境でも使用できる。スクリプトが実行されるとすぐに呼び出される関数を作成することもできる。

 攻撃者は、セキュリティアナリストの作業を複雑にするために、またセキュリティソフトウェアによる検出を回避するために、高度に難読化したJavaScriptで開発された悪意のあるコードを拡散することがよくある。

SQL

 SQLは、リレーショナルデータベースのクエリ(参照)と更新に広く使用されている。管理者も開発者も、データベーステーブルに格納されているデータの取得、更新、削除といった目的でSQLクエリを作成する。

 SQLは汎用(はんよう)プログラミング言語ではないが「このクエリ言語によって、リレーショナルデータベースがどのように動作するか」をよく理解することは、コードセキュリティ監査やペネトレーションテスト(侵入テスト)の担当者にとって役立つスキルとなる。

 SQLの知識は、アプリケーションやシステムへの不正アクセスや機密データの盗難につながる可能性があるアプリケーションコード内のセキュリティ上の欠陥を見つけるのに役立つ。

 SQLインジェクションはWebアプリケーションに対する最も頻繁な攻撃の一つだ。セキュリティ担当者はペネトレーションテストなどによって、SQLインジェクションの原因を特定して修正する必要がある。

PowerShell

 PowerShellは構成管理やタスクの自動化によく使われるので、Windows OSが普及している環境では、セキュリティ担当者にとって優れた選択肢となる。

 フォレンジック分析において、情報を取得したり、「セキュリティ侵害時に攻撃者がどのようにしてシステムに侵入したか」を把握したりする上で役立つ。

 PowerShellに関する知識は、エクスプロイトの実行、サービススキャン、マルウェア分析など、ペネトレーションテストにも生かせる。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
  2. 日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
  3. 企業は「生成AIのデータローカライズ問題」にどう対処すべきか Gartnerがリスクを軽減するための戦略的アクションを解説
  4. 「透明性向上が狙い」 Mozilla、「Firefox」に利用規約を導入した理由を説明
  5. 「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表
  6. 古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
  7. サイバー攻撃からの復旧時間、世界平均は10.9カ月、日本企業の平均は? ファストリー調査
  8. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  9. 「人材不足は生成AIで」は誤解? 大阪大学 猪俣教授が提言する、セキュリティ人材育成/自動化に必要な意識
  10. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
ページトップに戻る