【 Webシステムのセキュリティ対策 】
ネットワークで通信を行うWebシステムでは、システムに対する攻撃は、プログラムのセキュリティホールを利用して悪意のあるデータを送り込み、これを利用して不正な行為を行う場合が多い。
そのため、特にWebシステムのプログラミングでは、セキュリティホールのない安全なソフトウェアを構築するセキュアプログラミングの原則に従ってプログラム開発を行うことが重要になる。
セキュアプログラミングの原則
【 バッファオーバーフロー攻撃 】
確保したメモリ領域(バッファ)を超えてデータが入力された場合に、データがあふれてプログラムが暴走してしまうこと。バッファオーバーランともいう。
バッファオーバーフロー攻撃とは、バッファに対して許容量を超えるデータを送り付けてシステムを機能停止にしたり、意図的にバッファをオーバーフローさせ、あふれ出たデータを実行させてしまう攻撃。
バッファオーバーフローは最も代表的なセキュリティ・ホールであり、昔からさまざまなOSやアプリケーションに多く存在している問題である。現在OSで見つかっているセキュリティ・ホールの半数以上はバッファオーバーフローによるものといわれている。
【 クロスサイトスクリプティング攻撃 】
攻撃者が対象となるサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行せしめることから、クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)と呼ばれる。
【 プライバシーバイデザイン 】
個人情報を取り扱うシステムを構築する際、その設計段階から個人情報保護のための方策を技術面・運用面・ 物理的面から検討しておくこと。
【 ファジング 】
ソフトウェアの不具合(とくに脆弱性)を発見するためのテスト手法の一つである。 何万種類もの問題を起こしそうな入力データ(例:極端に長い文字列)を与えることで意図的に例外を発生させ、その例外の挙動(製品が異常終了する)を確認することで脆弱性を発見する方法です。
www.it-shikaku.jp