IPAが「安全なウェブサイトの作り方」を改訂！分かりやすい図解と失敗例を交えて攻撃の仕組み・防御の方法が分かる114ページ

独立行政法人のIPAが2年3ヶ月ぶりに「安全なウェブサイトの作り方」を改訂しました。セキュリティに関する記事や書籍にはそこそこ目を通している方だとは思いますが、無料にしておくには勿体無いくらいよくまとまっているので、これは一読の価値アリです。特に図解が分かりやすいですね。

f:id:aiza_wai:20150321224901p:plain

アプリケーションを造る人なら一度は読んでおきたい図解が秀逸なセキュリティの教科書

IPAが無料でこんな素敵な書籍を公開していたとは。「安全なウェブサイトの作り方」は、アプリケーションに脆弱性（セキュリティホール）を作りこまないようにするために、脆弱性の実例とその対策を図解を交えて分かりやすく解説しています。

下記サイトからダウンロードが可能です。

<a href="http://www.ipa.go.jp/security/vuln/websecurity.html" data-mce-href="http://www.ipa.go.jp/security/vuln/websecurity.html">安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構</a>www.ipa.go.jp

各脆弱性に対する図解説明が秀逸で、要点を抑えてとても分かりやすくまとめてくれています。最後の章では「失敗例」として、具体的な脆弱性の作り方まで解説してくれているという丁寧ぶりです。

アプリケーションを造る立場にいる人であれば、一度は目を通しておいて損は無い内容だと思います。

尚、第７版での改定内容は下記の通りです。

第 7 版では、1 章に、クリックジャッキングとバッファオーバーフローの脆弱性の解説を追加し、クロスサイト・スクリプティングの脆弱性への対策方法、各脆弱性で紹介している届出状況、参考 URL 等を更新しました。また、2 章に、ウェブサイトにおけるパスワードの管理方法の解説を追加し、通信経路の暗号化の解説、DNS などの対策方法、参考 URL を更新しました。

ちなみに、IPA関連のネタでは過去に2014年度版の情報セキュリティ10大脅威を紹介しています。標的型メール攻撃やリストアタックによる不正ログインの被害が目立った2014年。今のところ、2015年度はそれほど大きく傾向はブレない気もします。

<a href="http://i.eat-tec.jp/entry/2014/03/19/083438" data-mce-href="http://i.eat-tec.jp/entry/2014/03/19/083438">2014年版「情報セキュリティ10大脅威」をIPAが発表 - いーとてくのろじ</a>i.eat-tec.jp

最近は便利なライブラリがどんどん増えて、あまり作らなくてもなんとなくシステムを完成できちゃう時代になっていますね。中身の仕組みに無頓着でも、システムは動かせてしまうので、そんなにセキュリティに気を配らなくても何とかなると思っている人もいるかもしれません。

しかしながら、世に公開されているモノが全て安全かというと決してそうではなく、素人が作ったというレベルではないにせよ、少なからず脆弱性が含まれているのもまた事実です。攻撃は高度化していく一方なので、このようなライブラリを使う場合にも、最低限のセキュリティに関する知識は頭に入れておいて、予防策を考え、万が一問題発生した場合にも対処できるようにしておくべきでしょう。

ちなみに、セキュリティ関連の書籍では下記もオススメです。