安全なWEBアプリケーションの作り方

読書感想文 ソフトウェア開発

ふと思うところがあって手に取ってみた

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
posted with amazlet at 11.04.08
徳丸 浩
ソフトバンククリエイティブ
売り上げランキング: 16127
Amazon.co.jp で詳細を見る


WEBアプリケーションそのものの開発には関わっているものの、自分自身がそのすべてを作っているわけでもないし、そもそも対象としているシステムが「基本的に社内で運用」という前提が付いているので、少し弱い分野。
これまでもセキュリティ系の書籍は読んだことはあって、脆弱性のいくつかは確かに知っている。
ただ、項目を知っているのとそれの対応が正しく取れる。また、"ぜい弱性を指摘できる"と言うのはイコールにならない。
たぶん、どれだけ経験したのか?と言うことが、やはり一番なのではないか。

単純に目次だけを見るのであれば、先日第5版が発表されたIPAの「安全なWEBサイトの作り方」で十分に範囲を抑えていると言える

安全なWEBサイトの作り方 (IPA
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

安全なSQLの呼び出し方 (IPA
http://www.ipa.go.jp/security/vuln/documents/website_security_sql.pdf

・・・・
なんか、目次にてるな・・・。
と言うか、よくよく見てみるとSQLインジェクションの例題なんて全く同じだし

って、こっちの作成にも徳丸さん絡んでるじゃん(笑)
そりゃ似たようになるよね。

WEBアプリケーションの作り方

当初、本書を手に取ったのは純粋に"セキュリティ対策"的な意図だった。
そういう意味で、本書ではVM環境を用意して実際にぜい弱性を体験できると言う素晴らしい教材だと思う。

ただ、一通り読んでみて思ったのは、タイトル通り「WEBアプリケーションの作り方」何だな、ってこと。
純粋なコーディングに限らずWEBアプリケーションに関わる周辺技術を含んで説明されている。
もちろん、これを読んだからと言ってWEBアプリケーションが作れるか?と言うとまず作ることはできない。
ただ、網羅的に周辺技術に対して"セキュリティを意識して"学ぶことができると言うのはいいなと思った。

先に書いたとおりぜい弱性との戦いは経験もある程度あると思う。
今ある技術の裏をどうすればつくことができるのか?と言うのは繰り返し行われてきたことだし、昨今の新技術目白押しの状況下においてはそれぞれの対策が必要になるだろう。
どこまで柔軟に考えることができ、幾重にも予防線を張っておくことができるか。

セキュリティを意識するうえで、まず最初に読む本としてちょうどよさそうだ。