「Webアプリの脆弱性対策は簡単です」

「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏（技術本部 セキュアワン室 室長）。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング（XSS）など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 （1）ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ

[paz3]

Webアプリの脆弱性は4つの原則を守れば防げる。1.ユーザー入力を精査する。2.ユーザーに渡したデータを信じない。3.不要なエラー情報を出さない。4.セッション管理を強固にする。

[no_ri]

これだけだと「気をつける」「チェックする」「適切に」を延々と延々と延々と続けるのがセキュリティ対策ということになるな。精神論セキュリティ。

[gallu]

「ユーザー入力を精査する」はぁ…なんて駄目な見本。TISの早矢仕善弘か覚えておこう。似非セキュリティ専門家もどきとして。

[hidehara]

まず、この４つを意識して作りたい

[NOV1975]

「例外は見つかっていない」これだけでとても不安だ。

[chroQ]

TIS...

[y-kawaz]

入力を精査ｗｗ

[mumincacao]

CSRF の対策法見てると脆弱性の本質を無視して無理やり４つに当てはめちゃってるだけに１じんばぶえどる☆ヾ（・ω【みかん

[jtw]

プロ野球の有名選手が「きた球を良く見てガツンと叩けばいい。それだけです。」といってるのとまったく同じ。つまり、何の参考にもならん戯言。

[tosebro]

「簡単」って。その原則が現場の作業量が多い＆多岐にわたるのが難しさなんじゃ？「単純」（基本的な対策をやっておけばOK的な）ならまだ分かるが。

[higher_tomorrow]

『四つの原則』がよくわからない（あまり美しい整理には。。複雑怪奇ではないということを言いたい？）。バグのないアプリを開発すればよいだけなのだが、コントロールしかできない立場としては、えらく難しい。。

[lizy]

SQLインジェクションにはプレースホルダを使ったクエリの方が効果がありそう。XSSは入力より出力時の問題のような？

[oirano]

「キリンを冷蔵庫に入れるのは簡単です」　扉を開け、キリンを入れ、扉を閉める。 なるほど簡単だ。

[t-murachi]

こういう安っぽい煽りと導入を釣にして会員数増やそうとするようになっちゃったら、もうプロフェッショナル向け情報サイトとしては失格だ罠。

[warabi]

ね、簡単でしょ？

[kogawam]

「入力を精査」なんて開発の実感から遠い。コーディング上もインジェクションを意識できるのは出力時だし、マスタ投入、移行データ、システム連携のことを考慮できてないし、そもそも外部仕様うぃ満たせなくなる

[nippondanji]

その5. 如何なる防御もDDoS攻撃の前には訳に立たない。その6. サーバー側の如何なる防御もショルダーハッキングの前には無防備である。 その7. 携帯端末IDどうすんの。

[ghostbass]

え？/ こういうこと言う人がいるから「社内あぷりでHTMLエスケープなんて不要」みいに言われてしまうんだよ

[Kanasansoft]

これは...。

[Layzie]

技術力をアピールしたいんだろうけども、"簡単です"と言い切っちゃうような人に対策をお願いしたくないよねえ

[ockeghem]

私も脆弱性対策の3原則を得た。第1原則「脆弱性対策は正しいプログラムを書くことに集約される」。第2原則「セキュリティ屋は原則を作りたがる」。第3原則「いかなる脆弱性対策の原則も実際の役には立たない」

[MinazukiBakera]

こ、これは……。

[cubed-l]

んー？

[bobbyjam99]

"原則は簡単だが、実際の開発現場で実践するのはなかなか難しい"

[rryu]

CSRFをセッション管理に分類するのはどうかと。セカンドオーダーSQLインジェクション、HTMLファイルアップロードによるXSSなど、当てはまらない脆弱性がたくさんあるし。

[hasegawayosuke]

「そこで四つの原則に当てはまらない脆弱性がないかどうか、いつも問いかけている。しかし、いまだ例外は見つかっていないという。」→正規の画像ファイルなのにXSSするとかあるじゃん。

[kei_tanaka_des]

Webアプリの脆弱性対策

[kojinose]

4つの観点

[PSV]

（1）ユーザー入力を精査する（2）ユーザーに渡したデータを信じない（3）不要なエラー情報を出さない（4）セッション管理を強固にする