基本がわかる安全設計のWebシステム(日経BP Next ICT選書)
倉持浩明(著)
,日経SYSTEMS(編)
/日経BP Next ICT選書
作品情報
SEもPMも知っておきたいWebシステムのセキュリティが、基本から分かる
重要情報の漏えい、データの改ざん──。
Webシステムを狙う攻撃は、企業に深刻な被害をもたらす。
安全なWebシステムを作るには、要件定義から始まる開発プロジェクトの各段階でセキュリティを検討するのがポイントとなる。
本書では、開発の現場を熟知した著者が、開発者だけでなく関係者全員が知っておくべきWebシステムのセキュリティを基本から解説する。
【第1章】 Webシステムのセキュリティを取り巻く現状
【第2章】 セッションを狙う攻撃と対策
【第3章】 認証を狙う攻撃と対策
【第4章】 暗号化通信(HTTPS)の仕組みと使い方
【第5章】 入出力処理の実装に潜む脆弱性
【第6章】 ネットワークインフラを狙う攻撃と対策
【第7章】 システム開発のライフサイクルとセキュリティ
もっとみる
商品情報
- ジャンル
- コンピュータ・情報 - コンピュータ・インターネット
- 出版社
- 日経BP
- 掲載誌・レーベル
- 日経BP Next ICT選書
- 書籍発売日
- 2015.07.18
- Reader Store発売日
- 2015.12.18
- ファイルサイズ
- 30.8MB
- ページ数
- 184ページ
以下の製品には非対応です
この作品のレビュー
平均 3.0 (2件のレビュー)
-
内容は比較的易しめで、基本的な部分を学んでいく感じです。
2015年の本をようやく読みましたが、定期的な更新の是非など、少し古くなっている部分も見受けられました。このあたりの世界は流れが速いですね…投稿日:2019.02.19
この手の本では久しぶりにヒット。自分のような、「門外漢だけど、仕事上携わることになってしまった人」がにとって、わかりやすく適度な深度でまとめられている。
・品質管理の三つの考え方
一つ目は、「品…質は検査で保証するものではなく、設計段階から作り込んでいくもの」 二つ目は、「プロダクトの品質は、母体組織の品質に依存する」、三つめは「プロダクトの品質は(母体組織の品質に依存するのであれば)、経営課題であり、マネジメントが積極的にコミットしなければならない(現場任せにしてはならない)」
・事故によるセッションIDの漏えいを防ぐ
セッションIDをCookieではなく、URLの一部として設定している場合、攻撃ではなく事故によってセッションIDが漏えいしてしまうケースがあります。…
対策として、セッションIDをURLに含めるのは極力避けましょう。
・HTTPのおさらい
・HTTPはリクエストとレスポンスが一対になっている
・GETメソッドは、URLにWebシステムへ送るパラメータを記述する
・POSTメソッドは、Webシステムへ送るパラメータをリクエストボディに記述する
・パスワード変更機能を設計する際の注意点
第一に、パスワード変更は原則として本人が行うようにします。ユーザーがパスワードを忘れた場合も、管理者がパスワードを変更できないようにします。繰り返しになりますが、「本人しか知り得ない」ことがパスワードの原則です。管理者によるパスワードの変更を許可してしまうと、この原則に反することになります。
第二に、パスワードの世代管理を行い、パスワード変更時に複数世代前と同じパスワードを設定させないようにします。同じパスワードを再設定されてしまっては、せっかく定期的なパスワード変更を求める意味がありません。
第三に、パスワードを含む個人情報やセキュリティ設定が変更されたら、登録されているメールアドレスに変更があったことを通知しましょう。個人情報の変更昨日では、メールアドレスそのものが変更されている場合もあるため、変更前のメールアドレスにも送信するようにします。こうすることで、万が一、他人が登録情報を変更した場合でもユーザーが気付けます。
・外部認証
外部認証としては「OpenID」が有名です。OpenIDはさまざまなWebサイトで共通のID情報を利用できるようにした認証方式の一つで、国内では、Yahoo!Japanやmixiなどが自社のIDをOpenIDとして公開しています。
ユーザーはサービスごとに新たにアカウントとパスワードを登録する必要がなくなります。Webサービス提供者側としては、パスワード認証に関する機能を自社で持つ必要がないので、労力を低減できます。
・他のWebアプリケーションと連携
OAuth自体は本来、認証(本人確認)というよりも、Webアプリケーション間でAPIなどを通じて安全にアクセス権を付与するための仕組みです。OAuthを利用するセキュリティ上の利点は以下の通りです。
・他のアプリケーションにパスワードなどの認証情報を保存する必要がない
・他のアプリケーションに提供できる範囲を指定できる
・他のアプリケーションに与えた認可を取り消せる続きを読む投稿日:2018.10.08
新刊自動購入は、今後配信となるシリーズの最新刊を毎号自動的にお届けするサービスです。
- ・発売と同時にすぐにお手元のデバイスに追加!
- ・買い逃すことがありません!
- ・いつでも解約ができるから安心!
※新刊自動購入の対象となるコンテンツは、次回配信分からとなります。現在発売中の最新号を含め、既刊の号は含まれません。ご契約はページ右の「新刊自動購入を始める」からお手続きください。
※ご契約をいただくと、このシリーズのコンテンツを配信する都度、毎回決済となります。配信されるコンテンツによって発売日・金額が異なる場合があります。ご契約中は自動的に販売を継続します。
不定期に刊行される「増刊号」「特別号」等も、自動購入の対象に含まれますのでご了承ください。(シリーズ名が異なるものは対象となりません)
※再開の見込みの立たない休刊、廃刊、出版社やReader Store側の事由で契約を終了させていただくことがあります。
※My Sony IDを削除すると新刊自動購入は解約となります。
お支払方法:クレジットカードのみ
解約方法:マイページの「予約・新刊自動購入設定」より、随時解約可能です続巻自動購入は、今後配信となるシリーズの最新刊を毎号自動的にお届けするサービスです。
- ・発売と同時にすぐにお手元のデバイスに追加!
- ・買い逃すことがありません!
- ・いつでも解約ができるから安心!
- ・優待ポイントが2倍になるおトクなキャンペーン実施中!
※続巻自動購入の対象となるコンテンツは、次回配信分からとなります。現在発売中の最新巻を含め、既刊の巻は含まれません。ご契約はページ右の「続巻自動購入を始める」からお手続きください。
※ご契約をいただくと、このシリーズのコンテンツを配信する都度、毎回決済となります。配信されるコンテンツによって発売日・金額が異なる場合があります。ご契約中は自動的に販売を継続します。
不定期に刊行される特別号等も自動購入の対象に含まれる場合がありますのでご了承ください。(シリーズ名が異なるものは対象となりません)
※再開の見込みの立たない休刊、廃刊、出版社やReader Store側の事由で契約を終了させていただくことがあります。
※My Sony IDを削除すると続巻自動購入は解約となります。
お支払方法:クレジットカードのみ
解約方法:マイページの「予約自動購入設定」より、随時解約可能ですReader Store BOOK GIFT とは
ご家族、ご友人などに電子書籍をギフトとしてプレゼントすることができる機能です。
贈りたい本を「プレゼントする」のボタンからご購入頂き、お受け取り用のリンクをメールなどでお知らせするだけでOK!
ぜひお誕生日のお祝いや、おすすめしたい本をプレゼントしてみてください。※ギフトのお受け取り期限はご購入後6ヶ月となります。お受け取りされないまま期限を過ぎた場合、お受け取りや払い戻しはできませんのでご注意ください。
※お受け取りになる方がすでに同じ本をお持ちの場合でも払い戻しはできません。
※ギフトのお受け取りにはサインアップ(無料)が必要です。
※ご自身の本棚の本を贈ることはできません。
※ポイント、クーポンの利用はできません。クーポンコード登録
Reader Storeをご利用のお客様へ
ご利用ありがとうございます!
エラー(エラーコード: )
ご協力ありがとうございました
参考にさせていただきます。