Webアプリケーションのセキュリティについてご教示ください。
極端な話、IPSやWAFを導入すれば、アプリケーション側のプログラムはセキュリティを気にせず作っても大丈夫なのでしょうか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答3件
0
ベストアンサー
極端な話、IPSやWAFを導入すれば、アプリケーション側のプログラムはセキュリティを気にせず作っても大丈夫なのでしょうか?
全くそんなことはありません。とりわけ、権限まわりのバグ(アクセスできるはずのない他人のデータにアクセスできてしまったなど)については、誰がログインしているかを除いてアクセスパターンは同じなので、アプリケーション外での対策はほぼ無力です。
また、SQLインジェクションやXSSなどについても、典型的なパターンはIPSやWAFで防いでくれるかもしれませんが、複雑に凝った攻撃を仕組めばそれらを回避できることもありうるわけなので、元から断たないと安全性は確保できません。
あと、「URLパラメータやhidden引数に秘密の情報を入れてしまって、ユーザーが書き換え可能になる」とか「フリー入力欄としてHTMLを通したけれど、メチャクチャなスタイルを当てることで画面表示を混乱させることができた」など、機能として組み込むところに隙があれば、それを利用した攻撃を組み立てることができますので、やはりアプリケーション設計段階で「何も考えない」というのは危険です。
投稿2017/11/07 07:27
編集2017/11/07 07:41総合スコア145183
0
ここは事実をもって語るのがよいと思いますが、
まず、日本テレビサイトに対する個人情報漏えい事件ですが、調査報告書にIPSがあったが遮断できなかった旨が記載されています。
また、GMOペイメントゲートウェイのカード情報漏えい事件ですが、WAFが導入されていたが、事故を防げなかったことが分かります。
2017年3月10日の「不正アクセスに関するご報告と情報流出のお詫び」について | GMOペイメントゲートウェイ株式会社
IPSやWAF等のセキュリティソリューションがうまく使えばそれなりの効果はありますが、基本はアプリケーションの脆弱性をなくしておくことであり、IPSやWAFはあくまでも保険的な対策、緩和策であることに気をつける必要があります。maisumakunさんも指摘されているとおり、そもそもIPSやWAFでは防げないタイプの攻撃もあります。
投稿2017/11/07 08:03
総合スコア11701
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
IPS や WAF で危険な通信がすべて止められるというのは妄想です。
WAF でホワイトリスト方式を採用することで、かなりの制限をかけることは可能ですが、結果としてアプリケーション側の作りが適切でない場合、抜けることはそれほどスキルを必要としません。
*そもそもホワイトリスト方式で制限を掛ける場合、アプリケーションの作りを精緻に知っておく必要があります。
IPS や WAF は、アプリケーションとは別のレイヤーで通信を制限するツールであることを認識して使用すべきです。
投稿2017/11/07 08:04
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/11/07 09:54
退会済みユーザー
2017/11/07 10:03
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/11/07 07:58
2017/11/07 08:37
退会済みユーザー
2017/11/07 09:43 編集