Webシステム開発のセキュリティ対策
SQLインジェクション攻撃によるWebサイト改竄やクレジットカードや個人情報漏洩などの事件がメディアに大きく取り上げられ、Webシステム開発におけるセキュリティ上の欠陥の重大性が認識されつつあります。しかしながら、Webシステム開発にて、セキュリティに関する認識の甘い開発業者や予算や納期の関係でセキュリティ対策を後回しにしている開発業者も多く見受けられます。2005年の(株)ラック・コンピュータセキュリティ研究所の調査によると、67%のサイトでクロスサイトスクリプティングの脆弱性が、37%のサイトでSQLインジェクションの欠陥が見つかっています。弊社では、開発システムのセキュリティの重要性を早期から認識し、セキュリティ対策を重視したセキュアなシステムを開発しております。
Webシステムの欠陥例
- クロスサイトスクリプティングの欠陥
- SQLインジェクションの欠陥
- セッション管理の不備
- SSL通信の不採用
- エラーハンドリングの不備
- 認証、アクセス制御の不備
クロスサイトスクリプティング(Cross Site Scripting – XSS)
ソフトウェアのセキュリティホールの一つで、動的にWebページを生成するアプリケーションに、サイト間を横断して悪意あるスクリプトを混入させることです。具体的には、Webサイトの訪問者の入力をそのまま画面に表示するプログラム等で、悪意のあるコードを訪問者のブラウザ側でスクリプトなどに処理させて個別特定情報等が奪われてしまう脆弱性です。
クロスサイトスクリプティングにより、ユーザの個別情報が盗まれ、その情報を用いてサーバーの認証を通過することが可能となることがあります。これは、商用サイトでは特に重大問題となりますが、いまだに解決されていないサイトがたくさん残っているのが現状です。
弊社では特殊文字のサニタイジング(無害化)など、クロスサイトスクリプティング対策を施したシステムを開発しております。
SQLインジェクション(SQL Injection)
SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを改ざんしたり不正に情報を入手する攻撃のことです。
弊社では、SQLインジェクション対策として、バインドメカニズムやエスケープ処理を適切に使用し、正しく実装したシステムを開発しております。