8.1 Webサーバーへの攻撃経路と対策

この章に書いてあることが理解出来ない人は、WebサイトやWebアプリケーションを公開しないほうがいいと思う。でもそういうサーバはたくさんあって、ちょっと探せばすぐに見つかってしまうけど。
といってもすごく難しいことが書いてあるわけではない。

• サービス提供に不要なソフトウェアは稼働させない
• 脆弱性の対処をタイムリーに行う
• 一般公開する必要のないポートやサービスはアクセス制限する
• 認証の強度を高める

でもこれらを継続的に実施するのはけっこう大変。だからこそ注意するべきなんだけど。

8.2 成りすまし対策

ネットワーク的な成りすましとして「DNS に対する攻撃」と「ARP スプーフィング」について。
ARPスプーフィングの実例としては、これが有名だと思う。

• さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害

あとはフィッシングとか、SSLとか。
この章を読んではじめて知ったんだけど、無料で証明書を作ってくれるところがあるみたい。自分でなにかを公開するときには使ってみたい。やっぱりSSLがあると、安心できるし。

サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ド メイン認証証明書には無料のものもあります。イスラエルのStartComという企業は、無料のサーバー 証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラー なく使用できます。IE6でもアップデートが当たっていれば使用できます。 ドメインの認証および暗号化の目的には支障なく使用できるので、証明書費用がネックでSSLを導入で きないケースや、正規でない証明書(自己署名証明書、いわゆるオレオレ証明書)を用いている場合は、無 料サーバー証明書の導入を検討するとよいでしょう。 StartCom社のサーバー証明書は、日本の携帯電話には対応しておらず、携帯電話のブラウザから接続 するとエラーになります。携帯電話からのHTTPSアクセスが必要な場合には、StartCom社のサーバー 証明書では対応できません(2010年12月1日確認)。

体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

8.3 盗聴・改ざん対策

いろいろあるけど「中間者攻撃(Man in the Middle Attack)」で、去年のこれは衝撃的だった。

• Geekなぺーじ:イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因
• SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開 -INTERNET Watch

最近ではスマートデバイスのアプリケーションが、勝手に情報を送ってしまうケースが問題になっている。これも盗聴のひとつと言えるかもしれない。

8.4 マルウェア対策

Webサーバが感染しないように、Webサーバからマルウェアをばらまかないように気をつけよう。

8.5 まとめ

セキュアな状態を保つためには、継続的に対応していくことが大切だと思う。あと、常に対応し続けるのも難しいので、WAF(Web Application Firewall)を入れるなり、IDS(侵入検知システム)を入れるなりして、運用を楽にすることも大切だと思う。

9.1 開発マネジメントにおけるセキュリティ施策の全体像

このあたりのことは、情処のセキュリティスペシャリストに出てくる内容に近い。上流からちゃんと考えましょう、という感じ。

9.2 開発体制

wasbookを読んだことのある人達でチームを組めたらいいな、と。

9.3 開発プロセス

発注側としてはこちらも参考になるかも。僕は読んでいないけど。

• 発注者のためのWebシステム／Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ

9.4 まとめ

セキュリティについて、しっかり考えてやりましょう。