はじめに
文書の目的
この文書は、Webページのセキュリティについて分かりやすくまとめた入門ガイドです。日常で使うサイトの安全性を高める方法を中心に、設計や実装で注意すべき点を具体例で示します。初心者から実務者まで参考になる内容を目指します。
対象読者
・Web開発者や運用担当者
・セキュリティの基本を学びたい学生や技術者
・自社サイトの安全性を確認したい担当者
本書で扱う内容の概要
各章で次の項目を扱います。
– Webセキュリティの基本概念:リスクの見方と代表的な攻撃
– 暗号化とデータ保護:通信と保存の安全な扱い方
– アクセス制御と認証:ユーザー管理と権限の考え方
– 実装技術:具体的な対策と設定例
– データ検証とサニタイズ:入力の扱い方と排除策
読み進め方の提案
まず第2章で全体像を把握し、その後に実践的な章へ進むと理解が深まります。各章で示す具体例を自分のサイトに当てはめて考えてください。
Webセキュリティの基本概念
概要
Webセキュリティは、Webアプリやサービスを不正アクセスや攻撃から守ることです。目的は利用者の情報を安全に保ち、サービスを安定して提供することです。できるだけ専門用語を避け、具体例で説明します。
CIA(機密性・完全性・可用性)
- 機密性:情報が正しい人だけに見える状態。例:個人情報が第三者に見られないようにする。
- 完全性:情報が勝手に書き換えられない状態。例:注文情報が途中で変更されない。
- 可用性:サービスが必要なときに使える状態。例:サイトが落ちずに注文を受け付ける。
よくある脅威と具体例
- 不正ログイン(パスワード漏えい): 他人がアカウントを使う。
- データ改ざん: 商品価格や記録が書き換えられる。
- サービス停止(DDoS): サイトが大量のアクセスで使えなくなる。
基本的な対策(すぐできること)
- 強いパスワードと多要素認証を使う。具体例:SMSや認証アプリを併用。
- 通信を暗号化する(HTTPS)。ログイン情報を安全に送る。
- 権限を最小化する:必要な機能だけ権限を与える。
- 定期バックアップと監視:問題を早く発見し復旧する。
日常の運用で心がけること
- ソフトウェアを常に最新に保つ。
- ログを確認し不審な挙動を早期発見する。
- 社内ルールでパスワード管理やアクセス制御を徹底する。
以上がWebセキュリティの基本概念です。次章では暗号化とデータ保護について詳しく説明します。
暗号化とデータ保護
概要
通信と保存の両面でデータを守る考え方を説明します。ログイン情報やCookieなど機密情報を保護するための基本と実践を扱います。
HTTPS(通信の暗号化)
WebではTLS(一般にHTTPS)を使って通信を暗号化します。証明書はLet’s Encryptなどで取得し、httpをhttpsにリダイレクトします。HSTSを設定すると中間者攻撃のリスクを減らせます。常に強い暗号スイートを有効にしてください。
暗号方式の使い分け(AESとRSA)
・AESは速くて大量データ向けの共通鍵方式です。ファイルやDB列の暗号化に使います。
・RSAは鍵交換や署名向けの公開鍵方式です。実際のデータはAESで暗号化し、AES鍵をRSAで安全に渡す設計が一般的です。
保存データの保護
パスワードは暗号化ではなくハッシュ+ソルト(例:bcrypt, Argon2)で保存します。機密データはDB列ごとに暗号化し、バックアップも暗号化してください。
Cookieとセッションの保護
CookieにはSecure, HttpOnly, SameSite属性を付け、最小限の情報だけを保存します。長期トークンは控え、必要に応じて短い有効期限にします。
鍵管理と運用のポイント
鍵をコードに直書きしないでください。クラウドのシークレット管理や専用ハードを使い、定期的に鍵をローテーションします。アクセス権を最小化し、鍵のバックアップも安全に保管してください。
実践チェックリスト
- HTTPS導入・強い暗号スイート
- HSTSとPFSの有効化
- パスワードはハッシュで保存
- 機密列とバックアップの暗号化
- Cookie属性の設定
- シークレット管理と鍵ローテーション
- 定期的な検査とログ確認
アクセス制御と認証
最小特権の原則(PoLP)
システムやユーザーには必要最小限の権限だけを与えます。例えば、経理担当が会計データだけを閲覧・編集できるようにし、人事情報や管理機能にはアクセスできないようにします。権限を限定すると誤操作や内部不正の影響を小さくできます。
アクセス制御の種類
- ロールベース(RBAC): 役割ごとに権限をまとめます。例: 管理者、編集者、閲覧者。
- 属性ベース(ABAC): ユーザーの属性や環境に応じて細かく判断します。例: 勤務時間内のみアクセス許可。
- 強制アクセス制御(MAC): セキュリティレベルに基づき厳格に制御します。例: 機密度の高い文書は特定レベル以上でしか開けない。
認証と承認(認可)の違い
認証は「あなたは誰か」を確認すること、承認は「何ができるか」を決めることです。両方を組み合わせて初めて安全なアクセス制御になります。
強力な認証の実践例
- 多要素認証(MFA): パスワードに加えワンタイムコードや生体認証を使います。
- パスワード管理: 強いパスワードと定期的な見直し、使い回しの禁止。
運用上の注意点
権限は定期的に見直し、不要なアカウントは削除します。ログを記録し不審なアクセスを早期に検知する仕組みを整えます。最低限の権限と堅牢な認証を組み合わせることで、データ侵害のリスクを効果的に減らせます。
Webセキュリティの実装技術
概要
WAF(Web Application Firewall)やWeb分離は、攻撃の検出・防御と被害の局所化に役立ちます。本章では、具体的な導入方法と運用上の注意点を分かりやすく説明します。
WAFの働きと導入ポイント
WAFは不正なリクエストを見つけて遮断します。代表的な対応は、既知の攻撃パターンをブロックするシグネチャ検知と、通常の振る舞いから外れるリクエストを検出する振る舞い検知です。導入時は、まず検知モードでログを確認し、誤検知(false positive)を調整します。例:フォーム送信で正規のユーザーが弾かれたらルールを緩めます。
Web分離(インターネット分離)の考え方
外部と内部を物理的または論理的に分け、感染が一方に留まるようにします。簡単な例では、インターネット側は公開サーバ、社内は別ネットワークに置き、必要な通信はプロキシを介します。これによりマルウェアの横移動を抑えます。
TLSと通信の保護
通信は常にTLSで暗号化します。証明書は自動更新を設定し、古いプロトコル(SSLv3等)は無効にします。例:WebサーバでTLS1.2以上のみ許可します。
HTTPセキュリティヘッダとクッキー
Content-Security-PolicyやStrict-Transport-Security、X-Frame-Optionsなどを設定して攻撃面を減らします。クッキーにはSecureとHttpOnlyを付けて盗聴やスクリプトによる窃取を防ぎます。
運用と監視、テスト
ログを集約し異常をアラートします。定期的にペネトレーションテストやルールの見直しを行い、CI/CDにセキュリティチェックを組み込みます。WAFや分離の設定は一度で終わりません。運用で改善を続けることが重要です。
データ検証とサニタイズ
なぜ重要か
ウェブアプリはブラウザーから来るデータを信用してはいけません。未検証のデータは表示時のXSSや、データベース破壊、ファイル侵害につながります。安全に扱うために、入力の検証と表示前のサニタイズが必須です。
入力検証の基本
・目的を明確にして検証する(例:メールならメール形式、年齢なら数値)。
・ホワイトリスト方式を優先する(許可する形式だけ通す)。
・長さ、型、範囲、文字種をチェックする。
・ファイルは拡張子だけでなくMIMEやサイズも確認する。
出力時のサニタイズ
・HTMLに出力する際は特殊文字(<, >, &, “, ‘)をエスケープする。
・URLや属性に挿入する値は別途エンコードする。
・テンプレートエンジンの自動エスケープ機能を利用すると安全です。
データベースやファイルへの対策
・SQLはプレースホルダー(プリペアドステートメント)で実行する。例:SELECT * FROM users WHERE id = ?
・ファイル保存は公開ディレクトリ外に置き、必要ならランダム名で管理する。
実践的なチェック例
・フォーム:必須チェック→型チェック→長さ制限→正規表現で最終確認。
・アップロード:拡張子、MIME、サイズ、ウイルススキャンの順で検査する。
テストと運用
・自動テストで境界値や不正入力を試す。
・ログを残して異常な入力を監視する。
・ライブラリやフレームワークの更新を怠らない。
以上を習慣にすることで、脆弱性を大きく減らせます。安全なデータ処理を日常の開発ルールにしてください。
