質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.75%

  • サーバ

    745questions

    サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

  • セキュリティー

    433questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webアプリケーションのセキュリティについて

解決済

回答 3

投稿

  • 評価
  • クリップ 2
  • VIEW 305

wp_Yamada

score 22

Webアプリケーションのセキュリティについてご教示ください。
極端な話、IPSやWAFを導入すれば、アプリケーション側のプログラムはセキュリティを気にせず作っても大丈夫なのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+5

極端な話、IPSやWAFを導入すれば、アプリケーション側のプログラムはセキュリティを気にせず作っても大丈夫なのでしょうか?

全くそんなことはありません。とりわけ、権限まわりのバグ(アクセスできるはずのない他人のデータにアクセスできてしまったなど)については、誰がログインしているかを除いてアクセスパターンは同じなので、アプリケーション外での対策はほぼ無力です。

また、SQLインジェクションやXSSなどについても、典型的なパターンはIPSやWAFで防いでくれるかもしれませんが、複雑に凝った攻撃を仕組めばそれらを回避できることもありうるわけなので、元から断たないと安全性は確保できません。

あと、「URLパラメータやhidden引数に秘密の情報を入れてしまって、ユーザーが書き換え可能になる」とか「フリー入力欄としてHTMLを通したけれど、メチャクチャなスタイルを当てることで画面表示を混乱させることができた」など、機能として組み込むところに隙があれば、それを利用した攻撃を組み立てることができますので、やはりアプリケーション設計段階で「何も考えない」というのは危険です。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/07 16:58

    これ、どこをマイナスにしたんですかね?
    気になります。。。

    キャンセル

  • 2017/11/07 17:37

    特段問題はないように思いますが…

    キャンセル

  • 2017/11/07 18:37 編集

    ご回答ありがとうございます。
    AI導入によって堅牢になってきたりはしていますが、アプリケーション側の脆弱性を複合的に組み合わせることでいくらでも攻撃されてしまうのですね。

    キャンセル

+4

ここは事実をもって語るのがよいと思いますが、

まず、日本テレビサイトに対する個人情報漏えい事件ですが、調査報告書にIPSがあったが遮断できなかった旨が記載されています。

個人情報不正アクセスに関する 調査報告書 - 日本テレビ

また、GMOペイメントゲートウェイのカード情報漏えい事件ですが、WAFが導入されていたが、事故を防げなかったことが分かります。

2017年3月10日の「不正アクセスに関するご報告と情報流出のお詫び」について | GMOペイメントゲートウェイ株式会社

IPSやWAF等のセキュリティソリューションがうまく使えばそれなりの効果はありますが、基本はアプリケーションの脆弱性をなくしておくことであり、IPSやWAFはあくまでも保険的な対策、緩和策であることに気をつける必要があります。maisumakunさんも指摘されているとおり、そもそもIPSやWAFでは防げないタイプの攻撃もあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/07 18:46

    ご回答ありがとうございます。
    事例の提示ありがとうございます。IPSやWAFだけではダメな理由がよくわかりました。

    キャンセル

+3

IPS や WAF で危険な通信がすべて止められるというのは妄想です。

WAF でホワイトリスト方式を採用することで、かなりの制限をかけることは可能ですが、結果としてアプリケーション側の作りが適切でない場合、抜けることはそれほどスキルを必要としません。
*そもそもホワイトリスト方式で制限を掛ける場合、アプリケーションの作りを精緻に知っておく必要があります。

IPS や WAF は、アプリケーションとは別のレイヤーで通信を制限するツールであることを認識して使用すべきです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/07 18:54

    ご回答ありがとうございます。
    アプリケーション側のセキュリティ対策が基本で、IPS や WAFはセキュリティをより高めるためのものといた感じでしょうか。

    キャンセル

  • 2017/11/07 19:03

    回答にも書きましたが、制限するレイヤーを一つ増やすイメージが分かりやすいと思います。
    (実際にはもう少し複雑ですが)IDS/IPS は TCP/IP、WAF は HTTP に対して制限を加えることになります。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.75%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • サーバ

    745questions

    サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

  • セキュリティー

    433questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。