「OWASPでビルトイン・セキュリティ」連載一覧
-
2017/07/03
セキュアなIoTエコシステムはどうすれば実現できる?
「Internet of Things」すなわちIoTは、利便性の高いものであり期待がある一方、プライバシーの侵害など、利用者が被害を受ける懸念があります。また、間接的にIoTデバイスが他者へのDDoS攻撃に利用されてしまうなど、加害者となるケースも懸念されています。このような問題が大規模に起きないよう、IoTに関わるデバイスのような局所的な部分のみならず、エコシステム(=生態系)全体を通して、利用者が安全・安心に利用できるようにあらかじめ対策を施す重要性が叫ばれています。
-
2017/03/31
IoTのセキュリティ設計って、どこから学んだらいいの?
「IoT(Internet of Things:モノのインターネット)」は注目度が高いものの、全体的に未成熟な分野だと言われています。利用者にとって、また事業者にとっても、想定される脅威に対応したセキュアなIoT製品を開発することが課題であり、そのための情報、ガイドライン、あるいはその教材の需要は高いと考えられます。
-
2016/09/06
組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」
昨今のウェブアプリケーションでは、ほとんどの場合、オープンソースのフレームワークやライブラリのような、自社開発ではないパッケージ化された部品(コンポーネント)を組み合わせて構築することでしょう。ですから、もしも既知の脆弱(ぜいじゃく)性が存在するようなコンポーネントを利用してウェブアプリケーションを開発していた場合には、組み込まれたコンポーネントの脆弱性を悪用され、攻撃を受けてしまう可能性が高くなります。
-
2016/06/30
OWASP ZAPで開発中にセキュリティ診断!
ウェブアプリケーションのセキュリティ対策を考える上で、リリース直前ではなく、開発中の早期の段階からセキュリティ診断を行い、すぐに脆弱性を修正するというサイクルを繰り返すことが重要です。本記事では、その実践に役立つオープンソースのセキュリティ脆弱性検査ツール「OWASP Zed Attack Proxy(以下OWASP ZAP)」のインストール方法と、主要な機能を紹介します。
-
2016/02/12
IoT時代において重要性が増すデバイスのセキュリティ
本稿ではOWASPコミュニティから公開されているOWASP IoT Top 10をご紹介したいと思います。2014年に公開されたものですが、ウェブサービス(OWASP Top 10)やモバイル(OWASP Mobile Top 10)のセキュリティと並び重要なものとして、注意すべき脆弱性がまとまっています。
-
2016/01/29
SQLインジェクション対策の極意はSQL文を組み立てないことにあり
特にウェブアプリケーションにおいて、SQLインジェクションはもっとも有名な脆弱性の一つであり、2005年以降は日本のウェブサイトにも活発に攻撃が行われています。OWASP Top 10の2010年版においても、最新版の2013年版においても、ともに1位に位置づけられています。本稿では、OWASPのドキュメントを参照しながら、SQLインジェクションのあるべき対策について説明します。
-
2015/12/28
クロスサイトスクリプティング対策 ホンキのキホン
クロスサイトスクリプティング(XSS)は、古くから存在し開発者にもっともよく知られたセキュリティ上の問題の一つでありながら、OWASP Top 10でも2010年に引き続き2013年でも3位と、いまだに根絶できていない脆弱性です。本稿では、Webアプリケーションの開発においてXSSを根絶するために必要な対策の基本を本気でお伝えします。
-
2015/12/03
Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls
前回の記事では、特に深刻な影響のある脆弱性をまとめた「OWASP Top 10」について紹介しました。本記事では、このOWASP Top 10で列挙した10の重大な脆弱性を作りこまないようにする事前の対策についてまとめたガイドライン「OWASP Top 10 Proactive Controls」を紹介します。"Proactive Control"とは"事前の対策"を意味します。このガイドラインに基づいてソフトウェアの構築・開発を行うことにより、かなりの程度、重大な脆弱性を作りこまないようにす...
-
2015/10/29
Web開発者であれば押さえておきたい10の脆弱性 ~セキュリティ学習の第一歩はここから踏み出そう
本記事では、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top 10」をご紹介します。OWASP Top 10は3年に1度のペースで改定されてきたドキュメントで、特にウェブアプリケーションにおける重要な脆弱性やその脆弱性を作りこまないようにする方法を示しています。これによりセキュリティ対策の基礎を効率的、効果的に学ぶことができるため、これからセキュリティに関する勉強を始めたい方にうってつけです。