ナスです。

先日、初めてセキュリティトレーニングなるものを受講してきました。内容は、こんな攻撃があってこんな風にするとほら！簡単に侵入できたり情報を抜き出せたりできるでしょ？というものでした。SQLインジェクションとかは名前は知っていましたが、実際に試してみるのは初めてだったので、いい勉強になりました。

ただ1点だけ物足りなかった点があって、「攻撃手法はわかった。で、どうすりゃいいの？」って思ったので、とりあえず自分で調べてみました。

まずわかったこと

今までプログラム側で対策するしかないと思ってたんですが、サーバ設定でもセキュリティ関連の設定があることを発見しました。

Apacheの設定なんかほとんどしたことないけど、こういうのがあるって覚えてるだけでもいいですね。このことをチームメンバーのみんなに共有したら、ありがたいコメントがありました。

そういう意味でいくとですね、インフラだけで頑張っても意味無いんですよね。例えばWAF入れたから完璧！安心！とはならずに、例えばWAFはあくまで何かあった時に保険として守ってくれるものだと認識するのが正しく、アプリ側でセキュアコーディングするってのがまず出来てないと、全てボロボロになると思います

なるほど。そりゃそうですよね。お互いの領域でできる限りシステムを守る意識を持って対策することが大切なんですね。でも対策したからってもう安全だ！とはならないよ、どうすれば、、、

どうやって今の状態がセキュアな状態だと判断すればいいの？

持つべきものはチームメンバーということで、さらに情報をいただきました。

プラットフォーム診断とアプリ診断を調べれば責任範囲がある程度見えるかと思います

ふむふむ、そんな診断があるのか。ちょっと検索してみよう。

うん、説明がわかりやすい。こう言うサービスは他にもいくつかあるみたいなので、必要に応じて診断を受けてみるといいですね。

システムを守るって簡単なことじゃないですが、できることから少しずつ意識してやっていこうと思いました。