2021年1月27日

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
EGセキュアソリューションズからのお知らせ

2021年1月27日配信
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

もうすぐ節分ですね。

ここ数年、豪華な恵方巻がたくさん登場し、選ぶのも楽しいイベントになってきましたね。

さて、今年の節分は2月2日なのはご存じでしたか?
節分は、立春の前日に毎年行われていますが、今年は立春の日が124年ぶりに2月3日に
なるため、節分が2月2日になるそうです。

見えない鬼を退治して、福を招き入れてはいかがでしょうか。

TOPIX
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

1. Cookieにまつわるセキュリティについて

2. 【動画】Cookieにまつわるセキュリティ

3. 年度内の診断、まだ間に合います!

4. 徳丸浩から

5. 今日のクイズ

6. 展示会出展情報

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
+――――――――――――――――――――――――――――――――――――――+
1. Cookieにまつわるセキュリティについて
+――――――――――――――――――――――――――――――――――――――+

快適なネット生活を支えるCookieですが、設定をきちんとしておかないと
Cookie情報を不正に取られてしまう可能性があります。
不正に取られたCookie情報から「セッションID」を盗みだし、ユーザーを装って
サイトへ攻撃されてしまう可能性もありますのでご注意ください。

EGセキュアソリューションズでは不正アクセスの脅威からウェブサイトを守るために
脆弱性診断をお勧めしています。

脆弱性診断を検討中の企業さまは、ぜひ一度ご相談ください。

+―――――――――――――――――――――――――――――――――――――+
2. 【動画】Cookieにまつわるセキュリティ
+―――――――――――――――――――――――――――――――――――――+

弊社代表取締役・徳丸浩のYoutube公式チャンネルに掲載中のおすすめの動画を
ご紹介いたします!
セキュリティ用語にもなじみのない方にもわかりやすい内容となっておりますので
ぜひ一度ご覧ください。

☆動画内容☆
Cookieにまつわるセキュリティについて3回に分けて解説いたします。

【Youtube】
クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか

TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由

常時SSLでもCookieの改ざんはできるワケ

+―――――――――――――――――――――――――――――――――――――+
3. 年度内の診断、まだ間に合います!
+―――――――――――――――――――――――――――――――――――――+

年度内に脆弱性診断を検討されている方、これから診断を検討される方。
今なら年度内の診断、間に合います!

ここ数年、サイバー攻撃の手法が、複雑かつ巧妙になってきています。
そのため、ウェブ・セキュリティに対する対策を施す必要があります。

弊社では、具体的な検証例とわかりやすい対策方法の提示を行っており、
多くのお客さまからご好評いただいております。

まだ具体的な診断内容が決まっていない方も、ぜひ一度弊社にご相談ください。

お問い合わせ

+―――――――――――――――――――――――――――――――――――――+
4. 徳丸浩から
+―――――――――――――――――――――――――――――――――――――+

アプリケーションの脆弱性がなぜ、どのように作られてしまうかを考える上で、
プログラマの情報源に注目して、PHP言語の教科書を定点的に観測していた時期が
あります。その結果は以下のスライドや記事などにまとめています。

●安全なPHPアプリケーションの作り方2014(PHPカンファレンス2014スライド)

●PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた
https://blog.tokumaru.org/2013/12/php12sql.html

この調査の前提となる仮説は、開発者が言語を学ぶ教科書のサンプルプログラムに
脆弱性があり、その脆弱な書き方を覚えてしまうため、脆弱なコードが広まって
しまうというものでした。この仮説は、過去においてはある程度あたっていたと
考えますが、後者のブログ記事(解説書12種類を読んで…の方)にあるように、
近年の教科書はかなり脆弱性に注意を払っていて、必ずしも教科書の問題とは言
えなくなっています。

そこで、最近は「Yahoo!知恵袋」や「teratail」などの質問サイトに注目して、
質問や回答を読んだり、自ら質問に回答することで「開発者の現状」を調査し
ています。その結果の所感は以下の通りです。

・質問サイトの質問者のセキュリティ知識は極めて貧弱である
・一方、「teratail」における回答者の知識は概ね正確であり、セキュリティ
意識も高い
・ウェブセキュリティの前提となる同一オリジンポリシーやCORS等の基礎知識
については、質問者は壊滅的に分かっていない
・質問者が参考にしているネット教材やブログ記事はセキュリティ的に問題が
多そうだ(出典が明記されていないものが多く一部推測)

このような調査は、開発者の卵(初学者)を対象としたものですが、その状況は、
数年後には彼らが開発現場に入るため現実のサイトのコードや脆弱性として反映
されると考えており、現に、脆弱性診断などで「これは質問サイトで見た
パターンの脆弱性だ」というものを目にすることがあります。

このように、ウェブの開発はある程度できるようになった人がセキュリティの
知識まで備えているかというと、極めて危なかっしいというのが現状です。

この現状に対応するため、弊社では開発者向け教育や開発ガイドライン策定等
のソリューションを提供していますが、追加の選択肢として、開発者の現状
把握としての基礎試験をPHP技術者認定機構と共同で提供しています(弊社は
問題提供を担当)。

ウェブ・セキュリティ基礎試験
https://www.phpexam.jp/tokumarubasic/

貴社の開発者の現状把握、ひいては安全なウェブサイト開発のため、上記試験を
検討してみてはいかがでしょうか。

+―――――――――――――――――――――――――――――――――――――+
5. 今日のクイズ
+―――――――――――――――――――――――――――――――――――――+

Q.Cookieをより安全に利用するために、HTTPS通信の場合のみCookieを送信する
ことができるCookieの属性を一つ選択して下さい。

①Domain属性
②Secure属性
③Expires属性
④HttpOnly属性

メルマガクイズ 正解と解説

+―――――――――――――――――――――――――――――――――――――+
6. 展示会出展情報
+―――――――――――――――――――――――――――――――――――――+

1/27(水)〜29日(金)にて開催される、日本最大級のIT系オンライン展示会
「IT&MARKETING EXPO2021」に出展いたします。

■イベント名
IT&MARKETING EXPO2021
■会期
2021年1月27日(水)~1月29日(金)(10:00〜19:00予定)
■会場
オンライン
■参加費用
無料
■お申込み
IT&MARKETING EXPO2021 公式サイト
https://weblp.cloud-webexpo.com/visitor/marketing_expo2021