お問い合わせ

企業のアプリ担当者必見!アプリのセキュリティ対策

 2020.10.26  株式会社ジェイピー・セキュア

日常生活において、当たり前のように使用しているのがスマホアプリ、Webアプリです。パソコンのみならず、スマートフォンやタブレットの利用者が増えるのに比例して、アプリのセキュリティリスクも高くなっています。

本稿では、アプリ担当者が意識しておくべきセキュリティ対策について解説していきます。

セキュリティの重要性と現状

WhiteHat Securityは、2019年アプリのセキュリティに関する調査レポートを公開しました。同レポートによると、開発者の85%がコーディングや開発プロセスにおいてセキュリティは非常に重要だと考える一方で、75%はそのようなアプリのセキュリティについて危惧している現状がわかりました。(※1)

サイバーセキュリティにまつわる懸念と、アプリに求められるセキュリティのサポートが乖離していることが明らかになった形です。

中では、アプリのセキュリティが現在進行形の問題になっていることも示されています。同レポートによると、アプリ開発において、セキュリティ対策よりも決められたリリース日に間に合わせる方を優先すると答えた回答者が43%にものぼっています。

つまり、プログラマーはきちんと動作するアプリを指定された日までに提供するというプレッシャーの下で、納期を間に合わせるためにセキュリティを二の次にしたり、簡易的な対策しかとっていないという実情があるのです。

(※1)「開発者の75%がアプリのセキュリティを懸念--問題の所在は

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

意識しておくべきセキュリティ対策

主なセキュリティ対策は、大きく以下の2つに分別されます。

  • 不正アクセスやウイルスなど、外部からのサイバー攻撃に対する対策
  • アプリケーションなど、開発するシステムの内部に組み込む対策

アプリ担当者がまず意識しなければならないのが、内部に組み込む側のセキュリティ対策です。以下に一般的な例を挙げてみます。

SSL/TLSでの暗号化通信

パソコンとサーバー間の通信データを暗号化することで、通信時に内容を他者に読み取られないようにします。通信内容を読み取られると、悪用されてクレジットカードの不正利用などにつながります。

ソースコードの難読化

アプリのプログラムを解読されにくくします。ソースコードを解読されると、その中にあるバグや脆弱性をつかれて、サイバー攻撃を受ける可能性があります。

 

セキュリティ対策が重要とはいえ、アプリ担当者がプログラムの脆弱性について日々チェックするのは現実的ではありません。開発の進捗やスケジュールなど、確認しなければならないことが沢山あるからです。そこで、アプリを企画設計する段階から少なくとも以下の2点は意識しておいてください。

1.個人情報などの不必要な情報は扱わない

取り扱う情報量が増えれば、それだけセキュリティリスクは高まります。アプリ内に会員登録フォームを設けるケースも多いですが、本当に必要かどうか、設計する前に確認しておきましょう。

2.HTTPS経由でサイトを表示する

インターネットの通信方式には主にHTTPとHTTPSがありますが、安全なのはHTTPSでの通信です。HTTPSによる通信では、アクセスしているサーバーの身元証明ができるほか、やり取りする情報が全て暗号化されます。

さらに、データベースへアクセスしたり、Web管理画面からコンテンツを更新したりする仕組みが加わると、WAF(Web Application Firewall)のようなWebサーバー側でのセキュリティ対策も必須となります。

セキュリティトレンドの把握

OWASP Top 10は、OWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。

その時期に流行して大きな被害が発生したり、Webセキュリティにおいて警戒しなければならない項目がリスト化されています。このような最新のセキュリティトレンドについても定期的にチェックしておくことが重要です。

参考までに、最新のOWASP 2017で挙げられているTop 10の脅威は以下の通りです。

  1. インジェクション
  2. 認証の不備
  3. 機微な情報の露出
  4. XML外部エンティティ参照(XXE)
  5. アクセス制御の不備
  6. 不適切なセキュリティ設定
  7. クロスサイト・スクリプティング(XSS)
  8. 安全でないデシリアライゼーション
  9. 既知の脆弱性のあるコンポーネントの使用
  10. 不十分なロギングとモニタリング

まとめ

今回の記事では、アプリ担当者のセキュリティ意識の現状と対策、そして把握しておきたいトレンドについてご紹介しました。これを機に、セキュリティ対策の見直してみてはいかがでしょうか。

弊社では、Webアプリケーションを保護するWAF製品「SiteGuardシリーズ」を提供しています。ご興味ありましたら、是非お問い合わせください。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
入門:HTML(Hyper Text Markup Language)
アプリケーションの脆弱性はどのように診断し対策するのか?診断の実践をご紹介

RECENT POST「入門」の最新記事

WAF

2020.12.01

WAFとは?その利用目的と導入のメリット・デメリットを解説
入門

2020.11.25

ゼロデイ攻撃とは?想定される被害と企業に求められる対策
入門

2020.11.17

中小企業の情報セキュリティ対策を解説!IPAの推奨内容は要チェック
入門

2020.11.17

セキュリティ対策ソフトの検討ポイント!
企業のアプリ担当者必見!アプリのセキュリティ対策
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

WAFとは?その利用目的と導入のメリット・デメリットを解説

WAFとは?その利用目的と導入のメリット・デメリットを解説
ゼロデイ攻撃とは?想定される被害と企業に求められる対策

ゼロデイ攻撃とは?想定される被害と企業に求められる対策
中小企業の情報セキュリティ対策を解説!IPAの推奨内容は要チェック

中小企業の情報セキュリティ対策を解説!IPAの推奨内容は要チェック
セキュリティ対策ソフトの検討ポイント!

セキュリティ対策ソフトの検討ポイント!
WAFの有効活用!ホスト型WAFのメリット

WAFの有効活用!ホスト型WAFのメリット
ブログ無料購読

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索