とあるIT屋の独白

ITや経営について主に書きます

Webアプリケーションのセキュリティについて考えてみる

少し前に某Webサービスでセキュリティの不備があったことが、話題になりました。今の時代、手軽にWebサービスが作れるようになったのはすごく良いことと感じますが、とはいえ顧客情報等を扱う場合などセキュリティに対して留意することは必要であったりします。私自信もWeb系のシステムに携わってますので、不用意なコードを書かないよう注意せねばと感じています。
セキュリティ面での考慮として、例えば下記にあるRailsセキュリティガイドラインは参考になると思います。フレームワークでカバーできてる点はありますが、セキュリティ関連で発生しうる事象については意識しておかねばと感じています。

Railsセキュリティガイド】
https://railsguides.jp/security.html

完璧にセキュリティ対策が組み込まれているコードであれば問題ないのですが、開発は複数人でやることが多いですので、人手で問題ないかチェックするにも限界があるかと思います。そんなときは有償のセキュリティ診断や、下記の記事にあるWAFを入れてみるのもよいかと。WAFはWeb Application Firewallの略語で、不正なリクエストを遮断してくれます。

【WAFとは?】
https://www.scutum.jp/outline/waf.html

また、最近見た記事だと、OSSのセキュリティ監査基盤「Wazuh」はよいなと思いました。侵入検知・脆弱性監査・ログ管理が、複数のOSSを組み合わせ実現されていて、けっこう高機能な感じがしています。

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは】
https://www.atmarkit.co.jp/ait/spv/1902/18/news012.html