2006/12/20

IPA H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 に行ってきました


IPA H18年度ウェブアプリケーション開発者向けセキュリティ実装講座
日時:2006/12/20(水) 13:00~16:15
場所:文京グリーンコートセンターオフィス

本日は、IPA主催のWebアプリのセキュリティ講座に行ってきました。

本日の講座の内容は、以下の通り。

【講座内容】
1.脆弱性の届出情報の深刻度評価について
    IPA セキュリティセンター 小林 克巳 氏

2.安全なWebアプリケーションの作り方(番外編)
    IPA セキュリティセンター 園田 道夫 氏

3.安全なウェブアプリケーション開発に向けた活用事例
    株式会社日立製作所 HIRT 梅木 久志 氏

4.失敗事例から学ぶウェブアプリケーション開発のヒント
    IPA セキュリティセンター 伊藤 耕介 氏

5.安全なウェブアプリケーション発注のあり方
    独立行政法人 産業技術総合研究所
       情報セキュリティ研究センター 高木 浩光 氏


私は開発者なので、テーマ2・4・5が面白かったです。

テーマ2は、セキュリティのTIPSが増え続ける中で、どうすればセキュアなコーディングができるかというお話でした。

アプローチとしては、以下の3種類の取り組み方があるとのこと。

  1. 開発系フレームワークを活用
  2. 実行系(PHPとか)そのものをセキュア化
  3. セキュアなサンプルコードを使用
具体的な開発系フレームワークとしては、PHPのフレームワークが紹介されました。
実行系のセキュア化では、PHPの実行環境そのものをセキュア化するツールが紹介されました。


でも、これだけではセキュリティのTIPSに対応しきれないため、セキュアなサンプルコード使用する方法が示されました。

あと、WAFを使用する方法もあるとのこと。

これで、WAFを始めて知りました。

うーむ。勉強が足りませんね。。。

これでも完全ではないでしょうから、結局はセキュリティのTIPSは把握しておかなければいけないのでしょうね。


テーマ4では、クロスサイト・スクリプティング(XSS)の対応で、ありがちな失敗例が紹介されました。

XSSの根本的な対策は、Webページに出力するとき全ての要素エスケープ処理するとのこと。入力値のチェックは、保険的な対策で抜け道があるそうです。

げ。理解が間違ってました。。。

確か、ネット上の記事で、入力する際に問題のある文字列を無害化することをサニタイズといって、XSS対策だと読んだんだけどなぁ。どうも違っていたようです。

どうして入力する時点だと問題化というと、対応にモレが出たり、HTTPリクエストヘッダを偽装するケースもあるためとのこと。

うーむ。XSS一つとってもこれかぁ。。。

セキュリティに関しては、信頼できるソースから理解しなくてはいけないですね。。。


さて、テーマ5は、開発側には関係なさそうですが、発注者が開発ベンダーにどのようなセキュリティを求めるかのガイドラインのお話で、具体的な内容が挙げられていたので勉強になりました。

面白かったのは、「サニタイズ言うな」キャンペーンを実施中とのこと。

セキュリティって、ホント奥が深いですね。

本日の講座は参加してよかったです。

大変、勉強になりました。


◇配布物(一部)
◇オンラインリソース(IPA)

◇オンラインリソース(その他)




feedpath tags: ,   generated by feedpath

スポンサーリンク


このエントリーをはてなブックマークに追加




Twitter ではブログにはない、いろんな情報を発信しています。


コメント

俺も受けてきたよ~(´・∀・)ノシ
http://school5.2ch.net/test/read.cgi/lic/1163891948/140-145

名無し検定1級さん、コメントありがとうございます!
この講座は100人ほど参加されていて、なかなか盛況でしたね。

何でここのコメントすぐ反映されないの(´・ω・)?
どこら辺の席に座ってました?自分は真ん中の前のほうです

>何でここのコメントすぐ反映されないの(´・ω・)?
それは、コメントスパムとトラックバックスパムがものすごいからです(笑)。
ココログは、有償サービスでないとスパム対応してないんですよね。残念ながら。。。

>どこら辺の席に座ってました?自分は真ん中の前のほうです

多分、近くにいたかと。私も同じあたりにいたので。

コメントを書く



プロフィール

  • 名前:fnya
    経歴:
    SE としての経験は15年以上。様々な言語と環境で業務系システム開発を行い、セキュリティ対策などもしていました。現在は趣味SE。

    Twitter では、ブログでは取り上げない情報も公開しています。


    ブログについて

    このブログは、IT、スマートフォン、タブレット、システム開発などに関するさまざまな話題を取り上げたり、雑感などをつづっています。

    現在、Enty で支援を受け付けています。もしよければご支援ください。



    >>ブログ詳細
    >>自作ツール
    >>運営サイト
    >>Windows 10 まとめ

    Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから