なか日記

一度きりの人生、楽しく生きよう。

『徳丸浩のWebセキュリティ教室』 by 徳丸 浩

徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

開発する側というよりは発注者側(ユーザー側)が読んどくべき本というのは知ってたけど、なんかのキャンペーンで半額になってたのでポチって読んでみました。

目次

第1章 狙われるWebサイト、セキュリティ確保は経営問題に
 1-1 進化する手口、変わらぬ本質
 1-2 設計や仕様にも危険が潜む

第2章 パスワード破りやなりすましの危険、攻撃はもはや防げない
 2-1 相次ぐSQLインジェクション攻撃
 2-2 21秒ごとに1文字ずつ盗み出す
 2-3 「パスワード破り」が相次ぐ
 2-4 セキュリティ機能が通用しない
 2-5 “誤認逮捕”に発展する恐れ
 2-6 仮想サーバーのOSを入れ替える
 2-7 世間を騒がせた「GHOST」脆弱性
 2-8 クラウドサービスが乗っ取られる?

第3章 セキュリティ対策の主役は発注者。費用対効果の高い方法を選択しよう
 3-1 パッチの提供期間に注意
 3-2 切り札「WAF」への関心高まる
 3-3 RFPにセキュリティ要件は必須
 3-4 脆弱性未対策はベンダーの重過失
 3-5 パスワードは頻繁に変更すべきか
 3-6 相次ぐパスワード漏洩に有効
 3-7 クッキーの「属性」に落とし穴
 3-8 いまだに存在する「怖いクッキー」
 3-9 コストを抑えて安全性を向上
 3-10 Webに潜む脆弱性を洗い出す
 3-11 「安全なサイトの作り方」が改訂
 3-12 プロキシー経由で情報漏洩の恐れ
 3-13 書籍のサンプルコードに脆弱性
 3-14 急増するネットバンキング不正送金

読んだ後の書き殴り

中にも書いてあるけど、開発者向けではなく、発注する側が最低知っておかないといけないことを解説してる。

開発初心者にもざっくり概要を理解するという意味ではおすすめ。

開発者なら「体系的に学ぶ 安全なWebアプリケーションの作り方[リフロー版] 脆弱性が生まれる原理と対策の実践」を読んどくのがいいんだろうなぁ(積読してる…)

書籍の中にもセキュリティを意識してないサンプルコードがあったりもするので注意が必要といったことが書かれてたのが印象的。入門者はそれを見るわけで、それが正解と思ったらまずいよね。著者の意図としては「フォーカスしてる点が見やすいように」とか言い分はあるだろうけど。

書籍より、Web上の情報のほうが危ないと思う今日このごろ。自分も気をつけよう。

読んでみて(後から冷静に振り返って)

大体書きなぐった通り。追加するとしたら、開発する側は要件にないからって脆弱性対策を怠ったらだめですよねってことくらいかな(当然やけど)

それと、本書内でもWebサイトのセキュリティについて、IPAが「安全なウェブサイトの作り方」という情報を公開しています。

その中に、「セキュリティ実装 チェックリスト」といったものもあるので、活用するのがいいと思います。

ただし、最新のセキュリティ対策に追従しているかというと、そうでもないようです。なので、ここに書かれている内容を最低限満たしたうえで、プラスアルファの対応が必要になってくると思います。

おしまい。