Internet Week 2010 セキュリティセッション紹介　第3回「今日こそわかる、安全なWebアプリの作り方2010」

11月24日から26日にかけて、社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2010」が、秋葉原の「富士ソフトアキバプラザ」で開催される。

今回で14年目となる Internet Week は、年に一度インターネットに関わる技術の研究・開発や、構築・運用・サービスの関係者が一堂に会し、ここ1年間の最新動向を把握する非商用イベントである。

本稿では、Internet Week 2010の合計25セッションのうち、情報セキュリティに関する7セッションに絞って、各セッションのコーディネーターに、なぜそのセッションが開催されるのか意義や背景を聞く。

第3回となる今回は、開催初日、11月24日の午後に行われるプログラム「今日こそわかる、安全なWebアプリの作り方2010」について、このプログラムのコーディネーターである財団法人インターネット協会の佐藤友治氏と、講師を務めるHASHコンサルティング株式会社の徳丸浩氏の両氏に取材をした。

Internet Week 2010
https://internetweek.jp/

─このプログラムを設けられた背景や目的は何でしょうか？

Webアプリケーションのセキュリティに関する知識はようやく普及し始めていますが、安全なプログラムを記述する正しい方法は、まだ十分には知られていません。

例えば、SQLインジェクション脆弱性対策を例に挙げると、攻撃や対策の概要はいろいろなところで紹介されていますが、各論のところで、プログラミング言語とデータベースソフトウェアの組み合わせにおいて、どう書けば安全なのか、それはなぜなのかに言及したドキュメントはありません。しかし、それがないことには、開発現場でセキュアな開発をすることは難しいのです。

この問題意識を実現するために、IPAの「安全なウェブサイトの作り方」の別冊として、「安全なSQLの呼び出し方」という冊子を発刊するに至りました。この冊子では、SQLインジェクションという脆弱性が生まれる根本的な原理から、静的プレースホルダという方法を使えば、なぜ「原理的にSQLインジェクション脆弱性は混入しない」と言い切れるのかや、プログラミングの現場で、この言語とデータベースを使う場合は、どのライブラリをどのように呼び出せばいいのかまでを記載しています。

そこで、このプログラムではまず、この冊子の成果を含め、脆弱性対策の原理から具体的な書き方までを説明します。

─アプリの開発のセキュリティには、日本独自の問題もありそうですね。

おっしゃる通りです。

例えば、セキュリティの理論は欧米で発達したものなので、日本のWebサイトでは必須の、マルチバイト文字の問題に対する問題意識は薄い感があります。

また、日本ではモバイルインターネットが急速に普及しましたが、「ガラパゴス」の比喩で揶揄されるように、日本固有のモバイルインターネットが、企画面を含めて広がっています。そこに「日本固有のセキュリティ問題」が生まれているわけです。

そこでこのプログラムでは、日本のWeb環境ならではのセキュリティ問題として、「文字コードの取り扱いに起因するセキュリティ問題」と「ケータイWebアプリ固有のセキュリティ問題」を取り上げます。

─プログラムの対象者はどのような方ですか？

Webアプリケーション開発者を対象としています。

─最後に、読者にメッセージをお願いします。

このプログラムでは、Webアプリのセキュリティの全体像を俯瞰した上で、「SQLインジェクション対策」「文字コードのセキュリティ」「ケータイのセキュリティ」といったテーマに深く切り込んで行きます。

Webアプリの開発の現場で、セキュリティ意識の高い方やセキュリティに対する危機感の強い方に、特にお聴きいただきたいと考えています。

●アジェンダ

「S3 今日こそわかる、安全なWebアプリの作り方2010
開催日時:2010年11月24日(水) 13:00〜15:30
会場:富士ソフトアキバプラザ
料金:事前料金 5,000／当日料金 7,000
URL:https://internetweek.jp/program/s3/
講師:徳丸浩(HASHコンサルティング株式会社)

※特典:このセッションにお申込いただいた方でご希望の方全員に「Scan Tech Report(スキャンテックレポート)」の購読(有料：個人年間9,840円)を無料でプレゼントします。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。