【社内LT】バイタリフィ ライトニングトーク -セキュリティについて-...
-
Upload
vitalifyinc -
Category
Technology
-
view
167 -
download
2
Transcript of 【社内LT】バイタリフィ ライトニングトーク -セキュリティについて-...
バイタリフィ ライトニングトーク
セキュリティについて
セキュリティの重要性
なぜセキュリティが重要なのか
有名なトラブル事例
有名なセキュリティホール
具体的なセキュリティ対策
セキュリティ基準を策定
具体的なポイント
IPAによるアナウンス(http://goo.gl/VKgt)
普段の業務で気をつけること
セキュリティの重要性
なぜセキュリティが 重要なのか
最近は様々な場面でWebが利用されていますが、便利になった一方で業務情報が盗まれる(または漏洩する)といった犯罪も発生しており、社会問題になっています。
今後も便利な社会インフラとしてWebが機能する為に、セキュリティを確保したWeb制作が求められます。
※もちろん、スマートフォンアプリも同様です
有名なトラブル事例
賃貸住宅入居者向けサイトに不正アクセス
賃貸住宅の入居者向けコミュニティサイト「マチコエ」のデータベースが不正アクセスを受け、入居者の個人情報が、外部へ流出した可能性のあることがわかった。
同サイトを運営するマチコエによれば、同サイトで利用するクラウド型データベースの運営会社である米MongoHQの内部システムに対し、10月27日に不正アクセスが発生。マチコエのデータベースに接続するための管理者情報を含む顧客データが外部へ流出した。
MongoHQより報告があり問題が発覚。マチコエのデータベースに対しても不正アクセスの形跡が残っていたという。同サービスのIDや登録メールアドレス、暗号化されたパスワードが流出した可能性がある。
また同サイトのASPサービスを利用していた陽光都市開発が管理する横浜市みなとみらいエリアの賃貸物件7棟256戸の入居者氏名、住所、賃料といった個人情報、そのうち同サイトに登録した67人については、マチコエID、メールアドレス、暗号化されたログインパスワード、一部電話番号や生年月日などが流出したおそれがある。
マチコエでは、不正アクセス判明後、一時的にサイトを閉鎖。同サイトのデータベースにアクセスするための管理者情報を変更した。対象となる関係者には、陽光都市開発と協力しながら個別に連絡し、事情の説明を行う方針。今後は、安全性の高いデータベースへの移行など、セキュリティ対策を実施するとしている。
http://www.security-next.com/044410 ※2013/11/12掲載
有名な セキュリティホール
入力フォームなどからHTMLタグやスクリプト文字列の一部(例:alert(“test”);)を投入した場合、サイト側で適切に文字列処理していないとスクリプトが動作してしまうことがある。 悪用されると、個人情報が抜き取られたりページが改ざんされてしまう。
クロスサイトスクリプティング(XSS)
入力フォームなどからSQL文の一部(例:or 性別 = ‘男’)を投入した場合、サイト側で適切に文字列処理していないとSQL文として動作してしまうことがある。 悪用されると、個人情報が抜き取られたりデータベースが改ざんされてしまう。
SQLインジェクション
ディレクトリトラバーサル / クロスサイトリクエストフォージェリ(CSRF) / セッションハイジャック / OSコマンドインジェクション / クリックジャッキングなど
その他たくさん
具体的な セキュリティ対策
セキュリティ基準を 策定
全セキュリティホールに対応するのは物理的に困難です。そのため、セキュリティ基準書を用意して、メジャーなセキュリティホールへの対策方法を定義します。
セキュリティ基準を 策定
主要なセキュリティホールへの対策方法、実装例、テスト方法を定義した上で開発を行う。
具体的なポイント
セキュリティホールの種類は無数にありますが、攻撃者が突こうとするポイントはある程度似かよっています。
ユーザー入力値の整合性を漏れなくチェックする
ユーザー入力値を漏れなく無害化する
ドキュメントルートに設定ファイルを置かない
非推奨関数を使わない
大体のセキュリティホールは、この対策だけでも防ぐことができます。
IPAによるアナウンス
IPA(独立行政法人 情報処理推進機構)では安全なサイトを制作するためのガイドラインや、セキュリティチェックリストを公開しています。(http://goo.gl/VKgt)
普段の業務で 気をつけること
業務情報漏洩などのトラブルは、セキュリティホールによって起きるとは限りません。
普段から業務情報の保護に気をつける必要があります。
メール送信前に必ず宛先を確認する。
業務情報を含むPC/記憶媒体/印刷物を持ち出さない。やむを得ず持ち出す場合、目的地以外へ立ち寄らない。
破られやすいパスワードを使わない。
オフィスの戸締まりを徹底する。
おしまい