Webセキュリティについてちょっとだけ調べてみた [cloudpack OSAKA blog]

ナスです。

先日、初めてセキュリティトレーニングなるものを受講してきました。
内容は、こんな攻撃があってこんな風にするとほら！簡単に侵入できたり情報を抜き出せたりできるでしょ？というものでした。

SQLインジェクションとかは名前は知っていましたが、実際に試してみるのは初めてだったので、いい勉強になりました。

ただ1点だけ物足りなかった点があって、「攻撃手法はわかった。
で、どうすりゃいいの？」って思ったので、とりあえず自分で調べてみました。

まずわかったこと

今までプログラム側で対策するしかないと思ってたんですが、サーバ設定でもセキュリティ関連の設定があることを発見しました。

SofTek Home Page

Apacheの設定なんかほとんどしたことないけど、こういうのがあるって覚えてるだけでもいいですね。このことをチームメンバーのみんなに共有したら、ありがたいコメントがありました。

そういう意味でいくとですね、インフラだけで頑張っても意味無いんですよね。例えばWAF入れたから完璧！安心！とはならずに、例えばWAFはあくまで何かあった時に保険として守ってくれるものだと認識するのが正しく、アプリ側でセキュアコーディングするってのがまず出来てないと、全てボロボロになると思います

なるほど。そりゃそうですよね。
お互いの領域でできる限りシステムを守る意識を持って対策することが大切なんですね。でも対策したからってもう安全だ！とはならないよ、どうすれば、、、

持つべきものはチームメンバーということで、さらに情報をいただきました。

プラットフォーム診断とアプリ診断を調べれば責任範囲がある程度見えるかと思います

ふむふむ、そんな診断があるのか。ちょっと検索してみよう。

プラットフォーム診断は、診断対象となるサーバやネットワーク機器の安全性を徹底的に調査します。プラットフォーム診断の結果に基づいて対策を施すことにより、インシデントの発生を未然に防ぐことができます。

Webアプリケーション診断は、様々な疑似攻撃を考察・試行することで、安全性を徹底的に調査します。Webアプリケーション診断の結果に基づいて対策を施すことにより、インシデントの発生を未然に防ぐことができます。

うん、説明がわかりやすい。こう言うサービスは他にもいくつかあるみたいなので、必要に応じて診断を受けてみるといいですね。

システムを守るって簡単なことじゃないですが、できることから少しずつ意識してやっていこうと思いました。

この記事を書いた人

那須隆ネットワークエンジニア、SAPコンサルタントを経て、cloudpackにJOIN。Webサイトや基幹システムのインフラ構築および運用を主に行い、シェルやPythonなどでスクリプトを組んで、インフラ運用の効率化を目指している。那須隆が書いた記事