EGセキュアソリューションズ株式会社
評価版申し込み
お問い合わせ

企業のアプリ担当者必見!アプリのセキュリティ対策

 2020.10.26  2024.09.18 EGセキュアソリューションズ

日常生活において、当たり前のように使用しているのがスマホアプリ、Webアプリです。パソコンのみならず、スマートフォンやタブレットの利用者が増えるのに比例して、アプリのセキュリティリスクも高くなっています。

本稿では、アプリ担当者が意識しておくべきセキュリティ対策について解説していきます。

セキュリティの重要性と現状

WhiteHat Securityは、2019年アプリのセキュリティに関する調査レポートを公開しました。同レポートによると、開発者の85%がコーディングや開発プロセスにおいてセキュリティは非常に重要だと考える一方で、75%はそのようなアプリのセキュリティについて危惧している現状がわかりました。(※1)

開発者はサイバーセキュリティに対する重要性は認識しているものの、アプリのセキュリティ対策が十分でないと危惧していることが明らかになった形です

中では、アプリのセキュリティが現在進行形の問題になっていることも示されています。同レポートによると、アプリ開発において、セキュリティ対策よりも決められたリリース日に間に合わせる方を優先すると答えた回答者が43%にものぼっています。

つまり、プログラマーはきちんと動作するアプリを指定された日までに提供するというプレッシャーの下で、納期を間に合わせるためにセキュリティを二の次にしたり、簡易的な対策しかとっていないという実情があるのです。

(※1)「開発者の75%がアプリのセキュリティを懸念--問題の所在は

【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~

【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

詳細はこちら

意識しておくべきセキュリティ対策

主なセキュリティ対策は、大きく以下の2つに分別されます。 

  • 不正アクセスやウイルスなど、外部からのサイバー攻撃に対する対策
  • アプリケーションなど、開発するシステムの内部に組み込む対策

アプリ担当者がまず意識しなければならないのが、内部に組み込む側のセキュリティ対策です。以下に一般的な例を挙げてみます。

SSL/TLSでの暗号化通信

パソコンとサーバー間の通信データを暗号化することで、通信時に内容を他者に読み取られないようにします。通信内容を読み取られると、悪用されてクレジットカードの不正利用などにつながります。

ソースコードの難読化

アプリのプログラムを解読されにくくします。ソースコードを解読されると、その中にあるバグや脆弱性をつかれて、サイバー攻撃を受ける可能性があります。

セキュリティ対策が重要とはいえ、アプリ担当者がプログラムの脆弱性について日々チェックするのは現実的ではありません。開発の進捗やスケジュールなど、確認しなければならないことが沢山あるからです。そこで、アプリを企画設計する段階から少なくとも以下の2点は意識しておいてください。

1.個人情報などの不必要な情報は扱わない

取り扱う情報量が増えれば、それだけセキュリティリスクは高まります。アプリ内に会員登録フォームを設けるケースも多いですが、本当に必要かどうか、設計する前に確認しておきましょう。

2.HTTPS経由でサイトを表示する

インターネットの通信方式には主にHTTPとHTTPSがありますが、安全なのはHTTPSでの通信です。HTTPSによる通信では、アクセスしているサーバーの身元証明ができるほか、やり取りする情報が全て暗号化されます。

さらに、データベースへアクセスしたり、Web管理画面からコンテンツを更新したりする仕組みが加わると、WAF(Web Application Firewall)のようなWebサーバー側でのセキュリティ対策も必須となります。

セキュリティトレンドの把握

OWASP Top 10は、OWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。

その時期に流行して大きな被害が発生したり、Webセキュリティにおいて警戒しなければならない項目がリスト化されています。このような最新のセキュリティトレンドについても定期的にチェックしておくことが重要です。

参考までに、最新のOWASP 2021で挙げられているTop 10の脅威は以下の通りです。

  1. アクセス制御の不備
  2. 暗号化の失敗
  3. インジェクション
  4. 安全が確認されない不安な設計
  5. 不適切なセキュリティ設定
  6. 脆弱で古くなったコンポーネント
  7. 識別と認証の失敗
  8. ソフトウェアとデータの整合性の不具合
  9. セキュリティログとモニタリングの失敗
  10. サーバーサイドリクエストフォージェリ(SSRF)

まとめ

今回の記事では、アプリ担当者のセキュリティ意識の現状と対策、そして把握しておきたいトレンドについてご紹介しました。

EGセキュアソリューションズ株式会社では、Webアプリケーションを保護するWAF製品「SiteGuardシリーズ」を提供しています。Webアプリケーションの脆弱性を悪用する様々な攻撃に対し高い防御性能とユーザビリティの両立を実現した純国産のWAF製品です。

クラウド型「SiteGuard Cloud Edition」ホスト型「SiteGuard Server Edition」ゲートウェイ型「SiteGuard Proxy Edition」をご用意しており、お客様の様々なご要件に合わせて導入することができます。Webアプリケーションのセキュリティ対策として、WAFの導入をご検討の際はぜひ当社までご相談ください。

WAFとは

WAFとは

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。

詳細はこちら
入門:HTML(Hyper Text Markup Language)
アプリケーションの脆弱性はどのように診断し対策するのか?診断の実践をご紹介

RECENT POST「入門」の最新記事

入門

2023.09.19

デジタルフォレンジックとは? その目的から実現までの流れ
入門

2022.06.02

情報セキュリティガイドラインとセキュリティポリシー策定のヒント
入門

2022.05.27

メジャーになれなかった「フェールワンス」 ~SiteGuard WP Plugin 開発裏話~
入門

2022.01.24

【セキュリティ対策の必要性】知らないうちに負っている重大なリスク
企業のアプリ担当者必見!アプリのセキュリティ対策
5分でまるわかり!WAFによるサイバー攻撃対策
1分でわかる「SiteGuardシリーズ」
RECENT POST 最新記事
デジタルフォレンジックとは? その目的から実現までの流れ

デジタルフォレンジックとは? その目的から実現までの流れ
情報セキュリティガイドラインとセキュリティポリシー策定のヒント

情報セキュリティガイドラインとセキュリティポリシー策定のヒント
メジャーになれなかった「フェールワンス」 ~SiteGuard WP Plugin 開発裏話~

メジャーになれなかった「フェールワンス」 ~SiteGuard WP Plugin 開発裏話~
【セキュリティ対策の必要性】知らないうちに負っている重大なリスク

【セキュリティ対策の必要性】知らないうちに負っている重大なリスク
オンプレミスとは何だろう? クラウドとの違いとセキュリティ

オンプレミスとは何だろう? クラウドとの違いとセキュリティ
ブログ無料購読
RANKING人気記事ランキング
TOPIC トピック一覧
SEARCHブログ内検索