Q&A
そもそも、クレジットカードはw
クレジットカード情報漏えい対策として、経済産業省などからなる「クレジット取引セキュリティ対策協議会」が定めた実行計画(※1)では、加盟店様に対して、「PCI DSSへの準拠(※2)」または「クレジットカード情報の非保持化(以下、非保持化)の対応」が求められています。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践を購入したのですがセキュリティ対策系はこの本の内容だけで果たして十分なのでしょうか?
回答6件
0
ベストアンサー
著者です。既に皆様から回答があるように、十分か十分でないかでいうと、十分ではありません。
しかし、この本(以下、徳丸本と記載)を「完全に実践する」のは、そんなに簡単なことではないと思いますよ。
たとえば、他の回答者の方からパスワードの要件に関する指摘がありますが、徳丸本にはパスワードの要件その他がかなりページを割いて説明されています。例えば下記
積極的なパスワードポリシーのチェック
パスワードに対する攻撃に備えてWebアプリケーションが積極的にパスワードをチェックするためのパスワードポリシー候補としては、以下のようなものがあります。
- 桁数に関するもの(例:8 桁以上)
- 文字種に関するもの(例:英字・数字・記号をそれぞれ1字は入れる)
- ユーザIDと同じパスワード(いわゆるジョーアカウント)の禁止
- パスワード辞書に載っているありがちな単語の禁止
パスワード辞書に基づくチェックを実施しているサイトの例として、Twitterがあります。図5-3は、Twitterのパスワード変更画面で、新しいパスワードとして「password」を指定しているところです。
一般的な会員サイトであれば、徳丸本に書いてあることを忠実に実践していれば、それだけでかなり安全になるはずです。「クレジットカードを保存していいか」は書いてありませんが、そもそも最近の決済代行APIはパスワードの保存はできない仕様なので、そちらでカバーされると思います。
一方、決定的に「書いてないこと」としては、脅威分析があります。脅威分析については下記のスライドで少し説明しました。
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
この資料のスライド75からが脅威分析の説明です。
では、なぜ先の本に脅威分析が説明されていないかですが、脅威分析は難しいからです。下手にこれをやると、脅威が実際にはあるのに「脅威なし」と判定された場合、その脅威への対策は何もされなくなってしまいます。
こういう例があります。最近、Pentest Labsというペネトレーションテストの教育サイトが「パスワードを平文で保存していた」ことが判明して炎上しました。プロ中のプロであるはずのサイトでも、こういう判断ミスをするのです。であれば、「下手な判断せずベストプラクティスに従う」ことをいったんはお勧めします。(パスワードのハッシュ+ソルト+ストレッチングによる保存を広めたのは徳丸本の功績の一つだと思います)
なので、徳丸本は、「脅威分析は難しく、判断を間違えやすいから、予め想定される脅威についてできるだけ詳しく説明する」という方針で書かれています。
ご質問からは、なんとなくですが、「セキュリティ対策のベストプラクティス集」を求められているような気がします。ないこともないですが、いかがわしい内容も多く、お勧めできるようなものはありません。
結論としてはこうです。
- まずは徳丸本を完全に理解し実践することを勧める
- その先の世界は教科書などない世界であり、広く知見を広める必要がある
- さしあたり、最上流については「オニギリペイ」のスライドが参考になる
投稿2019/12/08 22:29
総合スコア11705
0
セキュリティ対策系はこの本の内容だけで果たして十分なのでしょうか?
どこまで行っても、(システムを全く稼働させないというリスクを完全回避する選択以外には)セキュリティに完璧はありません。
たとえば、レンタルサーバを借りていて、サーバ事業者の方に不具合があって、不正侵入されたり、データが消えたりすることがあるかもしれません。毎年毎年、新たな攻撃手法も増えていきます。
「これだけやればOK」という限度は存在しない(対策をすればそれに応じてリスクは減らせるけど、何かしらのリスクは残存する)、それがセキュリティです。
投稿2019/12/08 11:00
総合スコア145967
0
セキュリティ対策系はこの本の内容だけで果たして十分なのでしょうか?
いいえ。
徳丸本の主なカバー範囲は実装に関してで、トレンドを押さえ、非常に広い範囲を網羅した良書であると思います。
ただ、詳細設計より上流に関しては、該当の書籍は主なカバー範囲としていません。特に、攻撃事例の集め方やそれを要件に落とす方法が薄いので、体系的知識として上流は補完が必要です。
補完資料として、私はよく下記を参考にしています。
政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)
いずれにしても、会員制サイトで十分なセキュリティ対策を取るとなれば、書籍や公開されている情報は「入り口」程度として考えるのが妥当です。
投稿2019/12/08 11:48
退会済みユーザー
総合スコア0
0
Webアプリケーション開発で注意すべき内容や、実践と対策などかかれた良書ですよね。
ただこの本に載っている内容を実践しただけで十分とは言い切れません。
たとえば、
- パスワードって忘れやすいから、覚えやすいものでいいの?
- クレジットカード情報って、そもそも保存していいの?
- 個人情報って、どこまでが個人情報?
などなど、プログラミング以外にも考慮すべき点がありますので、この書籍「だけ」でOKとせず、情報を収集されてみてはいかがでしょうか。
投稿2019/12/08 11:07
総合スコア239
補足ありがとうございます。
非保持化って、DBやファイルへの保存はもちろんのこと、単にカード情報のバリデーションチェックのため自分のサーバーへPOSTするだけでもNGのようですね。
ちょうどクレジットカード情報の盗難手口に関するニュースが上がっていたので上げさせていただきます。
[「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説]
https://headlines.yahoo.co.jp/hl?a=20191209-00000046-zdn_n-sci
0
セキュリティに完璧はありません。
それがセキュリティです。
投稿2019/12/10 02:59
総合スコア20
0
よろしければ下記サイトを見てください。
Kaspersky Cyber RealtimeMap
リアルタイムで発生している攻撃の一部が見られます。
正直、これら全部を防ぐにはどれだけのコストをかければいいと思いますか?
毎日アンチウィルスソフトですら検知できない様な攻撃手法が編み出されている中、
1冊の本を熟読したので完璧とは言えないのでしょうか。
投稿2019/12/10 05:49
総合スコア179
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/12/10 06:17