非セキュリティエンジニアのセキュリティ考慮
こんにちは、シニアソフトウェアエンジニアのリドルです。このポッドキャストは、IT業界のいろんな話やリアルをお届けします。
今回は、非セキュリティエンジニアのセキュリティとの付き合い方、というテーマでしゃべろうと思います。
はい、セキュリティめちゃくちゃ大事ですよね。私も別にセキュリティエンジニアはないんですけれども、仕事をする上でセキュリティは結構いろいろ考えています。
で、どういうことを考えるのかっていうのをちょっと紹介したいなと思います。マイクロプラットフォームという要素を挙げますね。
まず一つ目、開発でって話なんですけれども、まずは自分たちの開発環境的な話ですね。
最近はNPMとかはサプライチェーンアタックみたいなものが結構ありまして、変なものが混入するみたいなこともあったりするので、
そういったものを定義的にバージョンアップするとか、バージョンアップするにしても事前に何か問題ないことをチェックしたりとか、
勝手にバージョン上がらないようにピン止めしたりとか、そういうことをやったりしますよね。
で、また外で仕事しないとか、後ろから見られて画面見られないようにするみたいな物理的な対策もしたりしますし、
席を離れたら画面ロックするとか、会社から採用されたPCとかスマホがあったらなくさないようにするみたいな原理的なこともやりますね。
これをずっと皆さんやってるかなと思います。
で、あとは実際の開発に入ってくると、アプリもインフラも変わらないですが、
全体的にセキュリティ的な要件というか、どういうことを気をつけましょうねっていうものを作ったりしますよね。
例えば、パスワードはこういうルールにしましょうとか、特権ユーザーは作らないようにしましょうとか、
固定的なAPIキーとかは使わずに、なるべくOIDCとかOOSとかのリフレッシュ可能な端面なトークンを作ってやりましょう。
境界防御、いわゆるファイアウォールとかだけじゃなくて、ゼロトラストなものをやっていきましょうとか、
そういう感じでアプリとかインフラのいろいろな項目に関してのセキュリティを考えますと。
モーラ的に考える場合はIPAが出している、そういうセキュリティのこういうことを考えるといいよみたいなリストを見たりだとかですね。
OWASPトップ10っていう、アメリカのOWASPって団体かな、ちょっと団体名を忘れちゃったんですけど、
そういうどういうセキュリティ攻撃が近年多いかみたいなものをトップ10で出してくれていて、
そのためにはこういうことを考えた方がいいよみたいなことを出してくれているサイトもあったりするので、そういうのを見てですね、対策をしますと。
現状運用しているものであれば、新しく出たCVEとか、CVEというのはですね、Common Vulnerability and Explosionsっていう、
国、国じゃないな、世界中でこういう脆弱性ありましたよっていうのを登録するためのデータベースがあるんですけれども、
そこに自分が使っている、例えば言語とかフレームワークとかOSSとかライブラリとか、そういうものの脆弱性が乗っかったら、
それのCVEのスコアを見てですね、CVEのスコア?CVSSかな?ちょっとごめんなさい、スコアの名前忘れちゃった。
なんかスコアが出るんですけど、危険度みたいなもんですね。で、その危険度に応じて、これ高いから直さないと、みたいなことを情報をゲットしたら、それの対応をするとか、そういうことをやったりしますよね。
なのでセキュリティはもう本当に常日頃から隣にいまして、DevOpsっていう概念があるんですけれども、これ開発と運用っていうのが昔分かれてたんですけど、
一緒にして、開発も運用も同じチームでやって、うまく開発の流れ、運用の流れを作っていきましょうっていう概念があるんですけれども、
それにSECが加わってDevSecOpsっていう概念もありますと、開発して運用するだけじゃなくて、間にセキュリティのこともきちんと気をつけていきましょうって感じですね。
なのでプロダクト開発においては、脆弱性診断っていうものをやったりすることがあります。
セキュリティの重要性の理解
これは何かというと、セキュリティのベンダーにお願いすることが多いんですけれども、自社サービスに対してセキュリティ的な脆弱性がないかっていうのをチェックしてもらうんですね。
例えばAPIサーバーであれば、APIサーバーの仕様書みたいな、APIのエンドポイントはこういうのがあって、こういうパラメータを受け付けてテストするときにはこれが前提になりますみたいな資料を出してですね、
それに対していろいろ攻撃を仕掛けてもらって、問題がないかどうかを見てもらうみたいなことがあったりしますね。
特に新しい機能で活躍顧客の情報だったりとか、お金が絡むようなところとかだったりすると、そのタイミングでやってもらったりとかしますね。
もちろんこれはアプリとかWebフロントエンドも対象になりますので、それはずっと会社とかプロダクトにもよるんですけれども、セキュリティを基本的にはどこの会社も大事にしていると思うので、
そういうサービスを使って診断をしたいという感じですね。特にインフルとかバックエンドになると、そういう脆弱性診断をお願いして、
ハンドリングするというか、対応するみたいなことも多いですね。 あとはあれですね、さっきのCV対応とほぼ同じですけれども、
ソフトウェアとかミドルウェアとか自分たちが使っているもので、セキュリティパッチが当たったものに関しては、それを適用するみたいな感じですね。
これが会社とか規模にもよると思うんですけど、ちょっとパッチ当ててあげるだけをね、結構作業が必要だったりすると大変ですよね。
という感じですね、どんなセキュリティを気をつけているかっていう話をちょっといろいろツラツラとしてみました。
セキュリティエンジニアではないので、なんかシーサート的な動きをしたりとか、解析したりとかすることもないですし、
何かレッドチームみたいなね、実際に攻撃してみるみたいなこともないし、どっちかっていうとなんか守る、対応するっていう方が一番かなと思います。
あとはプロダクトを開発する際にみんながそのセキュリティを守れるようなセキュアコーディングだったりだとか、セキュリティの標準だったりだとか、
そういったものをインフラとして用意していくみたいな活動が多いかなと思います。 あとあれか、アプリケーションに認証とか認可とか組み込む際には、
どういうものがいいんだろうみたいな悩んだりしますね。 IDP とか SSO とかどうしようみたいな。
あとあれか、最近はパスキーって新しい認証も出てきたので、そういう勉強とかもですかね、ありますね。
最近ねセキュリティどんどん厳しくなってるというか、もう緩むことはないんで、もうどこでもかしかもいろいろやらないといけないんで大変だと思いますが、
皆さんちょっとセキュリティはねずっと残るのと、まあ1回覚えればなんとなく勘どころ掴めれば、
次の技術も覚えやすいと思いますので、早いうちからぜひ挑戦してみてください。 このポッドキャストはハッシュタグいるIT皆様からの感謝やコメントを募集しております。
またチャンネルの概要欄にありますグーグルフォームのリンクからもご投稿可能です。 ありがとうございました。
