アプリケーションセキュリティ  情報セキュリティ

インドの情報セキュリティの大家が書き下ろした最新のセキュリティ書籍の一部をオンライン書籍としてご紹介します。書籍の情報は、こちらをご覧ください。

セキュリティ原則

Google で「セキュリティ原則」を検索すると、このトピックに関する何千ものページへのリンクが表示され、この概念の重要性を証明してくれます。これらの記事では、他の分野で作られた原則をセキュリティにも同じように適用できることが強調されています。ただし、唯一共通して意見が食い違っているのは、認識する必要のあるセキュリティ原則の数についてです。米国の団体 NIST が発表した 800-27 という報告では、33 のセキュリティ原則について具体的に詳述されています。セキュリティ原則に関するほとんどの論文では、原則は 10 個に抑えられています。プログラマは 1 ダースより多くのことを一度に覚えられないと思われているのでしょう。

Web セキュリティの実践者であるわれわれは、一度に 3 つより多くの原則を覚えることはできないので、最も重要なセキュリティ原則を 2 つだけ示し、その後でおまけとして 3 番目の原則を示します。

セキュリティ原則その 1 : 不要な入力を削除する

ユーザーからの入力を厳密に検証すれば、Web アプリケーションに対する攻撃を大幅に減らすことができます。ISO 27001 の基礎を形成する ISO 17799 では、入力の検証に対して 12.2.1 と 12.2.2 の2 つの規則だけが示されています。Common Vulnerabilities and Exposures (CVE) データベース脆弱性の 50% 以上は、データ入力の検査が不十分であることのみに起因します。

入力データは 1 つの特定のアプリケーションのみに固有のものなので、自動化された汎用的なコード ツールではほとんどうまくいきません。したがって、ソフトウェアを記述するプログラマだけが責任を負うことになり、固有のエラー チェックをコードに組み込むことが必要になります。

プログラマは、複数の防衛層に加えてプログラムのさまざまなステージでコード検証ルーチンを組み込む訓練を受ける必要があります。ただし、コーダーに対してセキュリティの問題についての教育を優先的に実施している企業や大学はごくわずかです。ファイアウォールや侵入検出システムやウイルス対策の購入またはコンプライアンスの実施では、問題はまったく緩和されません。

セキュリティ原則その 2 : 出力を検査する

攻撃者は、手始めに、攻撃対象のサイトに関する情報を収集します。そのために、障害が発生すると表示されるエラー メッセージを調べます。

不正なデータによって発生する例外はプログラマに対して詳細なメッセージを伝えます。このようなメッセージを隠しておかないと、情報の漏洩につながります。同時に、データベースも、誤ったパラメータを受け取るとさらに多くの情報を漏洩します。データベースが堅く口を閉ざすことを学べば、SQL インジェクション操作のような攻撃は効果がなくなります。

この場合もやはり、責任はプログラマにあります。プログラマにとって、コードにエラー チェックを組み込む作業は工夫のない単調なものです。その結果、データベースやオペレーティング システムによって吐き出されたエラーが攻撃者に届きます。このように漏出したデータの助けを借りて、攻撃者はシステムやアプリケーションの機密情報を入手し、最終的に侵入に成功します。

セキュリティ原則その 3 : 権利が制限されたユーザーとしてアプリケーションを実行する

このおまけの項目は、厳密にはセキュリティ原則ではありませんから、軽い気持ちで無視してしまうことがあります。

Web アプリケーションでの問題は、攻撃されるかどうかではなく、いつ攻撃されるかです。すべてのセキュリティ専門家は、侵入が日常の一部であると信じているので、同じようにこのことを口にします。したがって、フォールバック計画の作成がいっそう不可欠になります。人々の暮らしには死や税金といった、避けて通れないものがいくつかありますが、セキュリティ攻撃もそれに加えることができます。最高のプログラマが作成したアプリケーション コードでも障害は発生し、それは特に予期しないときに起きるので、用心して損害を最小限に抑える必要があります。ユーザーの権利が制限されていれば、攻撃者も大した損害を与えることはできません。しかし、悲しいことにこの原則は聞き流されてしまうことでしょう。