自作Webアプリで守るべきセキュリティ対策の基本知識

はじめに

本書の趣旨

この文書は、Webアプリケーションを自作する際に押さえておきたいセキュリティ対策をやさしくまとめた調査結果です。OWASP Top 10に代表される主要な脆弱性の説明から、SQLインジェクションやXSS、CSRFといった具体的な攻撃手法、入力値検証、認証・認可、通信の暗号化まで幅広く扱います。

対象読者

• 趣味や学習でWebアプリを作る方
• 初級〜中級の開発者
• セキュリティ対策の基本を確認したい方

目標

読み終えると、よくある攻撃の仕組みと基本的な防御策が分かり、安全な設計と実装の優先順位を付けられるようになります。例えば、ログインフォームに「’ OR ‘1’=’1」のような文字を入れられると不正ログインにつながる（SQLインジェクション）ことや、掲示板に悪いスクリプトが書き込まれる（XSS）ことなどを具体例で示します。

使い方

各章で原理と実践的な対策を順に説明します。コード例やチェックリストも用意するので、実装と確認に役立ててください。ただし、完全な防御は一度で達成できません。継続的な見直しが重要です。

Webアプリケーション開発におけるセキュリティ対策の完全ガイド

はじめに

自作のWebアプリでは設計段階から安全性を考えることが重要です。ここでは実装しやすい6つのベストプラクティスを具体例付きで説明します。

1. 入力値の検証とエスケープ

• 受け取るデータは必ず検証します。型・長さ・形式をチェックします。
• データベースにはプレースホルダ（プリペアドステートメント）で渡します（例：パラメータ化されたSQL）。
• 出力時はHTMLエスケープやJSONエンコードを行います。

2. 認証と認可の強化

• パスワードはbcryptやargon2でハッシュ化します。
• 二段階認証（MFA）を検討します。
• ロールベースで最小権限を適用します。

3. セッション管理とクッキー設定

• セッショントークンは長くランダムにし、HttpOnly、Secure、SameSiteを設定します。
• セッション固定化対策としてログイン時にトークンを再発行します。

4. 通信と保存の暗号化

• HTTPS（TLS）を必須にします。HSTSヘッダを設定します。
• 機密データは保存時に暗号化し、鍵は環境変数やシークレットマネージャで管理します。

5. 依存ライブラリと構成の管理

• 依存関係は最小化し、定期的に脆弱性スキャンを行います。
• 秘密情報はコードに書き込まず、リポジトリに入れません。

6. ロギングと監視、インシデント対応

• 重要な操作や失敗はログに記録します。ただし機密情報は含めません。
• 異常検知やアラートを設定し、対応手順を用意します。

以上の対策を組み合わせることで、実用的で堅牢なWebアプリを作れます。初めは優先度の高い項目から着手すると効率的です。

主要なセキュリティ脅威と対策

OWASP Top 10の位置づけ

OWASP Top 10は、Webアプリでよく見かける危険な脆弱性をまとめた指標です。ここでは頻度が高く影響も大きい代表的な脅威を取り上げ、それぞれの具体的な対策をわかりやすく説明します。

SQLインジェクション（SQLi）

説明: 攻撃者が入力欄に不正なSQLを入れて、データベースを不正に操作します。例えば、ログインフォームに “‘ OR ‘1’=’1′” を入れると不正ログインされることがあります。
対策:
– プリペアドステートメント（パラメータ化クエリ）を使って、入力をSQLから分離します。多くのDBライブラリで対応します。
– 入力のホワイトリスト検証（期待する形式だけ通す）を行います。
– 必要な権限だけ持つDBアカウントを使います。最小権限で運用すると被害を小さくできます。

クロスサイトスクリプティング（XSS）

説明: 攻撃者が悪意のあるスクリプトをWebページに混入させ、他ユーザーのブラウザで実行させます。コメント欄に “alert(‘X’)” を入れる例があります。
対策:
– 出力時にHTMLエスケープを必ず行います。”<” を “<” に変えるだけで防げます。
– テンプレートエンジンの自動エスケープ機能を有効にします。
– ユーザー入力は必要最小限だけ保存し、入力検証で不正なタグを弾きます。
– 追加防御としてContent Security Policy（CSP）で実行元を限定します。

クロスサイトリクエストフォージェリ（CSRF）

説明: ログイン中の利用者が知らぬ間に別サイトから送られた処理を実行してしまう問題です。例えば、外部ページが銀行振込のリクエストを勝手に送る危険があります。
対策:
– 各状態変更リクエストにランダムなCSRFトークンを付与し、サーバー側で照合します。
– CookieにSameSite属性を設定して、第三者サイトから送られないようにします。
– 重要な操作ではRefererやOriginヘッダーのチェックも行います。

その他の注意点

• ログやエラーメッセージに機密情報を出さないこと。
• ライブラリやフレームワークは最新の安定版を使い、脆弱性情報を定期確認します。

各対策は組み合わせて使うと効果が高まります。実装は、まず簡単な検証を行いながら、一つずつ確実に有効にしていきましょう。

入力値検証とエスケープ処理

概要

ユーザーから受け取るデータは期待どおりであることを確認し、危険な文字列を無害化します。入力値検証（バリデーション）で不正なデータをはじき、エスケープ処理で出力時に安全に表示します。

入力値検証の基本

• 型と長さのチェック：年齢は整数、名前は最大100文字など。具体例：年齢は0〜150の整数だけ受け付ける。
• パターンの検査：メールや電話番号は正規表現で形式を確認する（例：user@example.com）。
• ホワイトリスト優先：許可する値のリストを用意してそれ以外は拒否します。拡張子は .jpg/.png のみ許可するなど。
• サーバー側で必ず検証：クライアント側は利便性のためだけに使い、信頼は置かないでください。

エスケープ処理の要点

• HTMLコンテキスト：< は <、> は >、& は &、” は " に変換します。コメントや投稿の表示に必須です。
• JavaScriptコンテキスト：文字列を直接埋め込まず、JSON.stringify や専用のエスケープ関数を使います。インラインスクリプト内への挿入は避けます。
• CSSコンテキスト：ユーザー入力を直接 style に入れないでください。どうしても入れる場合は専用のエスケープ処理を使います。
• URLコンテキスト：query やパスに入れる値は encodeURIComponent でエンコードします。

実装のポイント

• フレームワークの標準機能や信頼できるライブラリを使うと安全です。
• バリデーションとエスケープのロジックは中央に集約して再利用します。
• テストで悪意ある入力（、”‘；など）を入れて動作確認を行ってください。

これらを組み合わせることで、スクリプトインジェクションや予期せぬ動作を大幅に減らせます。

認証と認可の強化

強力なパスワードポリシー

パスワードは長さと複雑さを重視します。推奨例は12文字以上で、大文字・小文字・数字・記号を混ぜることです。辞書語や連続文字列を禁止し、パスワード再利用を防ぐために過去の数回分を禁止します。実装例：登録時や変更時にリアルタイムで強度を表示し、弱ければ拒否します。

多要素認証（MFA）と代替手段

MFAを必須化します。代表例は認証アプリ（TOTP）やハードウェアトークン（FIDO2）です。SMSは盗聴リスクがあるため補助手段に留め、可能な限り認証アプリやセキュリティキーを推奨します。

アカウントロックアウトと保護策

不正試行を検知したら一時的にロックします。短時間の連続失敗で段階的に待ち時間を増やす「レートリミット」方式を勧めます。長期ロックはサポート負担を招くため、一時ロック＋メール通知やCAPTCHAを併用してください。

ロールベース（RBAC）と属性ベース（ABAC）

RBACは役割ごとに権限を割り当て、運用が簡単です。例：管理者、編集者、閲覧者。ABACはユーザー属性（部署、地域、時間など）で細かく制御できます。組み合わせて使うと柔軟性が増します。

強制アクセス制御（MAC）と最小特権

高度な機密データにはラベルベースのMACを使い、ユーザーの権限を厳格に制限します。いずれの場合も最小特権の原則を守り、必要最小限の権限だけを付与します。

セッション管理の強化

CookieにはHttpOnly、Secure、SameSiteを設定します。ログイン時にセッションIDを再生成してセッション固定攻撃を防ぎます。アイドルタイムアウトと絶対有効期限を設け、長時間の無操作で自動ログアウトさせます。

運用と監査

権限変更履歴や認証ログを記録し、定期的に監査します。アクセスレビューを定期実施し、不要な権限は速やかに削除してください。設定ミスを防ぐために自動化テストを取り入れると効果的です。

通信の暗号化

なぜ暗号化が必要か

すべての通信を暗号化すると、第三者による盗聴や改ざんを防げます。例えば、公共Wi‑FiでパスワードやセッションIDが平文で流れると危険です。HTTPSで通信経路を守ると安全性が格段に上がります。

SSL/TLSの基本

TLSは通信を暗号化する仕組みです。最新版（TLS 1.2以上、できればTLS 1.3）を使うと、速度と安全性の両方で有利です。証明書はサーバーの身元を証明します。

証明書の取得と管理

Let’s Encryptのような自動発行サービスを使うと、手間なく証明書を更新できます。重要なのは有効期限管理と自動更新の仕組みを整えることです。

サーバー設定のベストプラクティス

・TLSバージョンは古いものを無効化する（例：TLS1.0/1.1は無効化）。
・安全な暗号スイートを選ぶ。
・HSTSを設定してブラウザに常時HTTPSを強制する。
・OCSP StaplingやPerfect Forward Secrecyを有効にする。

HTTPからHTTPSへの移行

全ページをHTTPSに統一し、HTTPは永久リダイレクト（301）で転送します。外部APIやCDNもHTTPS対応を確認してください。

セキュアなクッキーとAPI通信

Cookieは Secure 属性と SameSite を付与します。APIはTLSで保護し、トークンを平文で送らないようにします。

テストと監視

SSL Labsや自動監査ツールで設定を定期的に確認します。証明書の失効や期限切れを監視して、問題を早期に検出します。