狠狠撸

「安全なウェブサイトの作り方」
を読もう
2008/12/27
FM-Tokyoライトニングトーク発表資料
松尾篤（株式会社エミック）

Webアプリケーションを
安全に作っていますか？

カスタムWebで開発を
始める前に

「安全なウェブサイトの
作り方」を読みましょう

? Webサイトの「安全上の欠陥」（脆弱
性）が狙われる事件が後を絶たない現状
はじめに

? Webサイトの内容が改ざんされる
? Webページにウイルスが埋め込まれる
? Webサイトから個人情報が盗まれる
etc.
安全上の欠陥があると
起こりうる問題

? オペレーティングシステム（OS）
? Webサーバー
? Webアプリケーション
etc.
狙われる対象は
多岐にわたる

? 個別に独自開発される場合が多いため、
セキュリティ対策は個別に実施する必要
がある
? 安全に作っておかなければ安全に運用す
ることは極めて困難
なかでも
Webアプリケーションは

? そもそも安全に作ることを意識してない
? 何が問題なのか分からない
? 安全に作る方法が分からない
? そもそもどうすればいいのか分からない
安全に作らなければ
いけないものの

? 独立行政法人情報処理推進機構（略称：
IPA）が公開している資料
? 2008年12月現在、最新版は改訂第3版
? 日本語版だけでなく英語版も公開
http://www.ipa.go.jp/security/vuln/websecurity.html
安全なウェブサイトの
作り方

? Webアプリケーションにおける主な脆弱
性の種類や発生しうる脅威、解決方法等
? Webサイト全体の安全性を向上するため
の指針、対策
? 問題となる実装の失敗例
何が書かれているのか

? エスケープ処理の未実施
例）<?php echo $_GET['param']; ?>
? 応答結果で文字コードの未指定
etc.
XSSでよくある失敗例

? FileMakerのカスタムWeb公開機能を使
う前に「安全なウェブサイトの作り
方」を必ず読みましょう
? カスタムWebだけでなくWebビューア
を利用する前にも是非読みましょう
まとめ

「安全なウェブサイトの作り方」を読もう