XSSは知ってても、それだけじゃ困ります？：もいちどイチから！ HTTP基礎訓練中（1）（1/3 ページ）

分かってるつもりではあるけれど……

　クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。

お客さん　「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね？」

クウ　「は、はいっ！ もちろんです！」

お客さん　「じゃあ、これからもよろしく頼むよ」

クウ、ユウヤ　「よろしくお願いしますっ！」

　無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。

クウ　「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」

ユウヤ　「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ？』なーんてことをいわれちゃうようになってきたね」

クウ　「うちみたいに小さい会社だと正直ちょっと手が回らなくて厳しいですよね……」

ユウヤ　「『セキュリティ』なんていわれても複雑だからなぁ」

クウ　「ですよね。どこから手を付けていいのか分からないですよ」

ユウヤ　「なんかこれを押さえておけば大丈夫！ っていう基本みたいなものってないものかねぇ」

クウ　「基本、かぁ……」

Webアプリエンジニアはみんな悩んでいる

　時間も遅くなっていたので、クウはユウヤと別れ、家路についた。Webアプリケーションの開発をしているクウにとって、セキュリティは日を追うごとに重要度が増している。しかし、日々の業務をこなすだけで精いっぱいで、そこまで手が回っていないというのが現状だ。

クウ　（そろそろちゃんとWebアプリのセキュリティを考えないといけないよなぁ）

　それでもクウはセキュリティには気を使って情報収集をしており、クロスサイトスクリプティング（XSS）やSQLインジェクションなどの、Webアプリケーションにおける脆弱性でよく話題になるものに関してはある程度理解をしていた。しかし、どうしても一時しのぎな対策を取っている感は否めず、自らが作成したWebアプリケーションが“本当に安全である”かどうか、自信を持つことができなかった。

クウ　（でも、Webアプリのセキュリティを考えるに当たって必要な知識って何だろう……）

　クウは家に着くとPCを立ち上げ、あらためてWebアプリケーションのセキュリティについて調べてみた。しかし、個別の脆弱性への対策などはすぐに探すことができるが、クウの満足できるような情報はやはり見つけることができなかった。

クウ　（Webアプリのセキュリティの基本っていっても、やっぱり個別の脆弱性情報を地道に調べていくしかないのかな）

Webアプリセキュリティ、メタな視点で考えてみる？

クウ　「あ！珍しいな」

　そのとき、ネットで知り合った友人のメッセンジャーがオンラインになった。

　ジュンとはWebアプリケーション開発関連のコミュニティで知り合ったのがきっかけで、時々メッセンジャーを通じて情報交換などをしている。彼はセキュリティに関しても詳しいようだったので、クウは少し聞いてみることにした。