EY-Office ブログ

EY-Officeの吉田裕美が、まだ Ruby on RailsやiPhone開発を行ってない技術者や技術系マネージャー向けに、技術や教育に付いて書いています。

2012-09-19 脆弱性の無いWebアプリの作成

EY-OfficeのRuby on Rails教育では、「脆弱性の無いWebアプリの作成」という章をもうけ、Webアプリケーションの脆弱性(セキュリティーホール)とその対策について学んでもらっています。

写真は FreeDigitalPhotos.net から
写真は ”FreeDigitalPhotos.net" から

最近いろいろな場所で教育を行って驚いたのですが、既にWebアプリケーションを作っているエンジニアでも脆弱性についての講習を受けたり、学んで無い方がかなりいる事です。
脆弱性(セキュリティーホール)の怖さは、商品がだまし取られたり、個人情報が流失した方への見舞金などの直接の損出だけでなく、そのサービスや会社のイメージダウンになり、場合によっては深刻な問題に発展する事があるということです。開発マネージャーの方や経営者の方々は、くれぐれも脆弱性の無いサービスを作る事に注力してほしいと思います。

脆弱性のデモ

弊社の脆弱性の教育では、まず脆弱性を作り込んであるネットストアーのデモソフトを使い実際に脆弱性を突くハッキングのデモを行います。
クロスサイドスクリプティング(XSS)による、コンテンツの改ざん、セッションハイジャクを使った成りすまし、SQLインジェクションによる情報流出などを受講者の前でデモします。
「百聞は一見にしかずと」言われるように、知識としては知っていることでも、目の前でハッキングが行われるインパクトから、受講者の目の色が変わるのが分かります。デモの後は脆弱性の仕組み解説や対処方法の解説を行います。

実は私も以前あるセキュリティー会社の脆弱性関連のセミナーに参加した際に、講師の方が目の前でハッキングのデモしてくれ、そのインパクトの大きさに感嘆し経験があるからこのようなデモを行っています。

もし、皆様の会社で脆弱性の教育や勉強会を行うなら是非、脆弱性のあるアプリを作り、ハッキングのデモを行うことをお薦めします。
もちろん、 EY-Office にお声を掛けて頂ければ脆弱性を含め、いろいろな教育の御提案を差し上げます。