『個人情報漏洩させたらこうなった』でのセキュリティ対策を解説

当サイトでは、『個人情報漏洩させたらこうなった』という小説を連載してきた。

（実録！の文頭はとることにした）
そこで今回は、当作品にも登場した、Webアプリケーションやサービス運営におけるセキュリティ対策について解説したい。

www.kyamaneko.com

おそるべき責任の大きさ

SQLインジェクション攻撃を受け、個人情報を漏洩してしまうと、経営レベルの問題となる。

matimura.cocolog-nifty.com

こちらの記事では、裁判においてSQLインジェクションのセキュリティホールを突かれたことが重過失としてみなされ、高額の賠償金支払いが命じられた判例について解説されている。

１被告は，原告に対し，２２６２万３６９７円及びこれに対する平成２３年１０月１５日から支払済みまで年６分の割合による金員を支払え。

恐ろしすぎる・・

こんなリスクを負わないために、どんなことが考えられるだろうか。

技術的なセキュリティ対策

まずはこちらをしっかり読もう。

www.ipa.go.jp

上記を補足する形で技術的な対策を紹介したい。

１．プリペアドステートメントの利用を徹底

特に、SQLインジェクションへの対策については、プリペアドステートメントの利用が効果的だ。

とはいえ、プリペア＝セキュリティ対策とは言い切れないことにも注意が必要だ。

プリペア機構は文字列のエスケープなどをやってくれるが、基本的には「処理の高速化・効率化」のために実装されているものであり、必ずしもセキュリティ対策のために用意された機構ではない。

ライブラリやフレームワーク側のプリペア機構にセキュリティホールなどがあることも想定し、十分検証してから使いたい。

２．機械的な文字列チェック

DBに渡す値や、あるいは全てのWebパラメータを、機械的に文字列チェックする対策も考えられる。

例えば、MySQLでは「information_schema」というデータベースで、全データの構造を管理しており、アタッカーはこの「information_schema」を解析しようとしてくることが多い。そこで単純に、パラメータ内に「information_schema」という文字列を検知した場合にプログラムをブレークする、という処理だけでも、効果的な対策になる。

合わせて、Webパラメータの内容について、アタックパターン文字列を検知するロジックを入れ、ブロックおよび通知する機構を入れると、アタックを止められるチャンスが増える。（UNIONや一部のSQL関数などの、アタックでよく使われる文字列を検知するわけだ）