最終回 安全なWebアプリケーションの実現に向けて

杉山 俊春
三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2006/10/28
(Illustrated by はるぷ)

 Webアプリケーションセキュリティに終わりはない!

 午後の部も終え、星野君と赤坂さんが帰ろうと準備をしていると、そこへ高橋さんが話し掛けてきた。

高橋さん 「お疲れさまー。どうだった? 楽しかった?」
星野君 「はい。すごいためになりましたっ!……というか、高橋さんが講師をやるなんて聞いてなかったからびっくりしましたよ」
高橋さん 「普段会社にいないことが多いから、たまには仕事してるってところを見せておかないとって思ってね」
星野君 「いやー、ホントびっくりしましたよ。高橋さんすごいっすね」
高橋さん 「別にすごくはないよー。赤坂さんはどうだった?」
赤坂さん 「バッチリ高橋さんの勇姿を目に焼き付けておきましたよっ!」
高橋さん 「へぇー。目開けてなかったのにすごいね」
赤坂さん 「う……。寝てたのがバレてる……」
高橋さん 「これから懇親会に出るんだけど付いてくる? いろんな話聞けて楽しいと思うよ」
星野君 「え? 付いていってもいいんですか?」
高橋さん 「うん、いいよ。来る?」
星野君 「はいっ! 付いていきますっ!」

 懇親会では、Webアプリケーションに関する仕事にかかわる人たちとさまざまな意見交換をすることができた。星野君にはまだまだ勉強しなければならないことがたくさんあるようだ。星野君の奮闘の日々はまだまだ続きそうだ。


星野君のWebアプリ・チェックポイント!

 Check!
  テスト項目を用意しよう
各脆弱性に対して、必ずテスト項目を用意して検査を行おう。脆弱性の大半は簡単な検査パターンを試すだけで防ぐことが可能だ

 Check!
  漏れが生じないように攻撃者の視点で検査を行おう

ユーザー視点での検査では、脆弱性を見落としてしまう場合が多い。また、自分ではちゃんと作ったつもりでも、実際には正しく機能していない場合もあるので、ブラックボックステストで検査を行おう
 Check!
  リリース前に必ず検査を行おう
用意したテスト項目が正しく実施されているかを管理し、テストが実施されていない状態のままシステムがリリースされることがないようにしよう

3/3

  

Index
安全なWebアプリケーションの実現に向けて
  Page1
セミナーの講師はあの人?!
  Page2
検査項目をしっかり定義
ユーザー視点では問題が見えてこない
Page3
Webアプリケーションセキュリティに終わりはない!

星野君のWebアプリほのぼの改造計画 バックナンバー


Profile
杉山 俊春(すぎやま としはる)

三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント

セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。

星野君のWebアプリほのぼの改造計画 連載インデックス

TechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

キャリアアップ

- PR -
@IT Sepcial
→ @IT Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る
- PR -

お勧め求人情報

ホワイトペーパーTechTargetジャパン

@IT Sepcial
→ @IT Special ヘ
ソリューションFLASH