質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

3回答

1273閲覧

webサイト製作時に注意すべきセキュリティを教えてください。

退会済みユーザー

退会済みユーザー

総合スコア0

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

1クリップ

投稿2020/11/26 00:51

webサイト制作者(初心者)です。

サイトが完成した際に(まだ未完成)注意すべきセキュリティを書き出しているのですが、
・アプリケーションのセキュリティ
・Webサーバーのセキュリティ
・DBのセキュリティ
で、止まってしまっています。

少人数の会社ですのでサーバーエンジニアやセキュリティエンジニアがおらず、独学していくしか方法がありません。
上記の他に注意すべき点がありましたら、ご教授ください。
よろしくお願いします。


開発環境
django=2.2
pyhton=3.8
mysql=14.14 Distrib 5.7.31

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ざっくりしすぎていますが、「どういう脅威があるか」調べた上で「どこまで対策するか」を決めないといけません。全て対策必要かどうか、許容範囲含めて要件です。
ひとまずIPAのサイトや書籍を確認してください。
安全なウェブサイトの作り方」など。

ただ、フレームワーク利用しているのでしたら一定以上は対応されているものが多いかとは思います。
いずれにしても「どこまでやるか」は決めてください。

投稿2020/11/26 00:55

編集2020/11/26 01:11
m.ts10806

総合スコア80875

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2020/11/26 00:57

完成した後だと簡単じゃない対策もあると思うので、込みで完成目指す必要はあります。
退会済みユーザー

退会済みユーザー

2020/11/26 01:05

ご回答ありがとうございます。 コーディングしながらセキュリティも考えていく必要があるのですね。 「どこまでやるか」はまだ全く見えていない状況です。 ひとまず「安全なウェブアプリケーションの作り方」を読みます。
guest

0

コードレベルの対応と、要件レベルのモノを分けて考える必要があります。

例えば、gasbombe さんの挙げている「SQLi、XSS、CSRF」はコード実装時のナレッジでほとんどの場合カバーでき、体系化され公開された情報も多いので独学が可能です。

しかし、m.ts10806 さんの挙げている「「どういう脅威があるか」調べた上で「どこまで対策するか」」はセキュリティ要件を決定する非常に大切な要素ですが、脅威分析の範囲であり、ほとんどの場合運用上直接的な脅威となるため一般公開されることはありません。
こちらを独学で学ぶのは非常に難しいです。

piyolog とかを見ると、ネット上で流通している情報が非常に薄いものであることに気が付けると思います。

~~
非常にざっくりしたものとしては「owasp top10」があり、実例としては「脆弱性対策情報データベース」等がありますが、学習には不向きな情報です。~~

まともな設計を行いたいのであれば、経験者を呼んでくるかコンサルに入ってもらう必要があります。

投稿2020/11/27 22:41

編集2020/11/30 23:28
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/11/30 22:44

わかりやすいご回答ありがとうございます。 コンサルに入ってもらいたいというのは、部内皆が思っていることだと思うので、 部内で声を上げて上司を動かしたいと思います。 正直サイトのセキュリティを考えるだけで、いっぱいいっぱいでコーディングが進まないので。
退会済みユーザー

退会済みユーザー

2020/11/30 23:32

文脈としておかしなことを書いていたので、回答を加筆/修正しました。 消した部分は、どちらかというと「コード実装時のナレッジ」に関する記述にも関わらず、「脅威分析」の文脈で記述していました^^;申し訳ない。
guest

0

Webアプリケーションの脆弱性診断などを業務でやっています。
Webアプリケーションで言えば、SQLi、XSS、CSRFを確実に押さえてください。
あとは権限の管理で、誰が何をできてはいけない、というのをちゃんと制御すること。
それ以外はまあ……ぶっちゃけ、目をつぶっても……。

使用するソフトウェアやライブラリはなるべく新しいものを使ってください。
お金を扱う場合など、サイトの性質によっては専門的な知識のある人が必要だと思います。

投稿2020/11/26 15:27

gasbombe

総合スコア204

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/11/27 04:48

ご回答ありがとうございます。 SQLi、XSS、CSRFについて、これから学習していきます。 幸いにも金銭の扱いはないので、そこは大丈夫かなと思います。 ソフトウェアやライブラリは問題回避のため、 最新より一つ古いバージョンを利用するのが会社の習慣になっているようなんですが、 そこは社内で話し合ってみようと思います。
gasbombe

2020/11/27 13:21

>最新より一つ古いバージョン そういう習慣もあるんですね。それは問題ないと思います。 数年前の脆弱性に対する攻撃とかが無差別に飛び交っているので、年単位で古いものは使わないようにという意味でした。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問