WEBサイトの安全を管理する①
投資すべき理由や要求仕様、要件定義の話からそれて、システムの安全確保について考えてみます。
自分はIT技術者の出発点はiappliテスターです。テスターからアプリ作成者、デバックのお手伝いをはじめ、プログラマーへとジョブチェンジしていきました。ですが経歴として一番長いのはサーバ構築・管理などです。個人で取得取得しているドメインは、VPSサーバを契約してワードプレスおよびメールサーバの構築し、運用管理をいまだに行っております。(自分の腕が錆び付かないように勉強をかねております)
自分、いつも考えることがあります。
世の中の人はシステムバージョンアップやセキュリティパッチを行うのは、簡単だと思っているのだろうか?と。
標準状態で利用している限り、バージョンアップは難しくありません。またWindowsは毎月Windowsアップデートでセキュリティ対策が実施されており、事故はあまり発生しておりません。(あまり、という言葉の通り少しはあります。)
ですが、、企業で利用されているシステムは「標準状態で構築運用されている方が珍しい」です。企業の顔というべきホームページについてもワードプレスにプラグインをインストールし構築されていることが珍しくなくなりました。インストールされているプラグインが広く利用されているOSSで標準のまま(プログラムに手が入っていない状態)で運用されていれば良いのですが、そんなことはあまりありません。
企業担当者からすると
・一般の社員が入力作業をしたら、課長が確認してOKが出たら社内の人が閲覧できるようにしたい。
・責任者にOKをもらうまでは一般公開できないようにしたい。OKがでたら一般公開したい。
・過去履歴をバージョン管理したい。
などなど・・・自分が2分で思い付くだけで、上記の機能要求が考えられる通り、企業のニーズとソフトの仕様は一致しないので何かしらの手が入ることになります。
これがホームページ以外となると。。。。
WEBを使ったシステム開発では
自分がWEBサイトの管理者と考えてください。安全管理はどのように考えますか?
有名な事件では下記があります。これはApache Struts(アパッチ・ストラッツ)というJAVAフレームワークに存在したセキュリティーホールを放置した結果起きた情報流出事件です。
誰もが、このような流出事件を起こしたくないと思います。まぁ攻撃して情報を取得しようとするクラッカー(悪意を持った攻撃者)が一番悪いのですが。。。。
このような事件を少しでも少なくするようにするには、どうすればよいでしょうか?
色々な方法が考えられます。次からは方法を考えていきましょう。