C# 逆コンパイル等のセキュリティ対策について

C#で作成したexeファイルを配布する上でのセキュリティ対策について質問させてください。
セキュリティに関してはネットの情報を色々調べた程度という、素人に毛が生えた程度の知識です。

・C#自体解読がされやすいことは理解しています
・セキュリティ対策に100%はなく、どこで妥協するか。ということも理解しています
以上を踏まえた上で、「素人よりちょっと詳しい人が諦める」程度のレベルまで対策を打ちたいと考えています。

現在対策を打っているのは、
・DB接続する際はウェブサービスを通して行う（DBのパスワード等を記述しない為）
・難読化ソフトを使用して逆コンパイル対策（逆コンパイルソフトを使用して、メソッド、変数、定数が解読困難な状態になっていることを確認しています）

上記2点です。
私自身素人なので、私だったら諦めてしまうなーと思うのですが、上記の対策で事足りるでしょうか？（仮に皆さんが逆コンパイルする立場であれば諦めますか？）
明確な答えが有る訳ではないので皆さんの考えを聴かせて頂けたらとありがたいです。
ふわふわした質問ですが宜しくお願いいたします。

行動規範の内容に同意します

回答3件

実際、それ位しか対策がないのが現状な気がします。他にあれば教えて欲しい位です。
僕は、Eazfuscator.NETというのを購入しました。１年毎に更新が必要です。

Windows PC 上で動かすと決まっている（ストアアプリではない）なら、
コア部分はネイティブ(C++)で作成しています。自分のソフトウェアのライセンス部分など。

投稿2017/02/13 03:34

mugicya

総合スコア1046

事足りるかどうかは個々の状況によると思います。
利便性と堅牢度はしばしばトレードオフの関係にあります。

逆コンパイルを心配されているということは、盗難を心配されているのではないかと思いますが、フロントエンドが盗難されて解析され、侵入される可能性は大変低いと思います。
フロントエンドが解析され、接続手順がばれても、パスワードがわからない限り接続はできませんし、盗難するためには組織内に侵入しなければなりません。

それよりも、ネットを通じて DB にアクセスできるのであれば、SQL インジェクションやパスワードの保守、スタッフの意識改善など、侵入対策に力を注ぐべきかと思います。
その上で、こまめにアクセスログを監視し、不正なアクセスをシャットダウンする工夫も必要ですし、不正なアカウントを発見する方法を用意し、不正アカウントは即時凍結できるよう組織的な権限を得ることも重要です。

以上、最も警戒すべきはフロントエンドの解析ではなく、サーバーの脆弱性であろうかと考えます。

投稿2017/02/13 10:09