Webシステム開発で知っておきたいセキュリティの話
2021/11/16 06:00
Webのプログラミングにおける脆弱性への対策だけではなく、もう少し広い視野でのセキュリティについてお話しました。セキュリティの話の全体的な内容についてを俯瞰する内容になっています。
セキュリティ
セキュリティの全体感として、話者は以下のようにまとめています。
- 人的な課題(扱う人は誰?権限管理は?)
- ハードウェアの課題(設備、USBメモリ)
-
ソフトウェアの課題
- 利用の課題(パスワード、ウィルス対策ソフト)
- 開発の課題(OSやネットワーク、プログラミング)
そのうち、開発する上で良く言われている脆弱性への対応というと、最後にあげた「開発の課題」になる為、実は全体からするとごく一部のことを論じていると言えるでしょう。
OSやネットワーク
OSやサーバ設定に関する内容では、以下のようなことがポイントになりそうです。
- 不要なデーモンを入れない
- 不要なアプリを入れない
- セキュリティパッチを充てる、最新バージョンを使う
ネットワークに関しては以下のようなことを提示しています。
- SSHに適切な設定
- ポートを絞る
途中で紹介していたさくらインターネットの社長さん(田中さん)のブログはこちらでした。少し古くなってしまっているかもしれませんが、概念は同様に生かせるものだと思います。
公開ディレクトリ
どのディレクトリが公開されて、大事な情報を入れて良いのは公開されていないディレクトリです。本当は基本中の基本だと思うのですが、脆弱性対応のような形で情報にヒットしないことが多いと思うので、改めてお伝えしました。
セキュリティ問題は経営問題
- 賠償などに発展して、経営者が対応すべきレベルになる
- リスクとコストを考えないと適切な内容が見い出せない難しい課題(いくらでもやれば良いというものでもない)