情報セキュリティについて

サイバー攻撃の手口は、年々技巧化してきています。ひとたびサイバー攻撃が行われれば、企業の売上に大きな悪影響があるにもかかわらず、残念ながら多くの開発者は、セキュリティについて現場で見様見真似で覚えることが多く、セキュリティ全体に精通した開発者も、基本的なセキュリティ項目を十分に勘案したサービス設計の必要性の認識も、まだまだ十分ではありません。そこで、今回のブログでは 情報セキュリティについて の基礎知識を紹介します。



1. 情報セキュリティ確保の必要性

ハッカーがサイバー攻撃を行うのは、例えば以下のような目的によるものです。

  • 情報を盗むため:例えば、個人情報、クレジットカード情報、機密データ、知的財産など
  • システムを停止させるため
  • システムを混乱させるため:例えば、ウェブサイトのコンテンツ改竄

セキュリティ関連のバグを放置した場合、まさに上記のような甚大な被害をもたらす可能性があるのです。特に、HBLABの顧客は個人情報への保護意識が高い日本人ですから、情報セキュリティの確保はなおさら第一に考えなくてはなりません。


顧客の個人情報を漏洩した場合、企業は訴えられ、大きな賠償金額を支払うことになるかもしれません。実際に、個人情報の漏洩で訴えられて2,000万円相当の賠償をすることになった企業も存在しています。

そのため、システムなどを開発する上で、最低限でも以下のような基本的な攻撃手法を頭に入れるとともに、セキュリティエンジニアのレビューを仰ぐことが必要です。


2. 基本的な攻撃手法


基本的な攻撃手法

アプリの不具合を利用した攻撃

  • バッファオーバーラン
  • OSコマンド・インジェクション
  • バックドアの利用
  • CGIのセキュリティホール
  • プログラミング言語固有のバグ

Cookie を利用した攻撃

  • 閲覧時に保存されたCookie情報の読み取り
  • 認証レイヤーを突破するためのCookie偽装
  • Cookie改竄によるシステムハイジャック
  • ブラウザーのセキュリティホールの利用

DOS(Denial of Service)攻撃

  • 大量のコンピュータがネットワーク(ボットネット)を形成し、同時にターゲットサーバーに接続することで、ターゲットホストを麻痺させ、サービスの一時中断を強いる可用性攻撃の一種

3. いくつかのサイバー攻撃

  • SQLインジェクション
  • クロスサイトスクリプティング (Cross-site scripting)
  • フラッディング(Flood)
  • セッションハイジャック(Session hijacking)
  • セッションIDの推測(Credential/Session Prediction)
  • ブルートフォース(Brute Force)
  • 認証設定の不備(Insufficient Authentication)
  • DoS

世界がフラット化している現代では、情報セキュリティの確保をしっかりと行われなければ、想像できないほどの被害が出ることでしょう。

システムを開発する際、どの役割の開発者であっても、情報セキュリティの確保について今一度意識を高めていただければと思います。


ーーー

企業:      HbLab Joint Stock Company(株式会社エイチビーラボ)

ハノイ事務所 :  7F, Hoang Ngoc Building, Lot C2C, Lane 92, Tran Thai Tong Street, Cau Giay District, Ha Noi, Vietnam

東京事務所:   〒 100-0004 東京都千代田区大手町 2-6-1 朝日生命大手町ビル2F

TEL:      (+81)-3-6281-9068

E-mail:     info@hblab.vn