EGセキュアソリューションズ株式会社
評価版申し込み
お問い合わせ

企業のアプリ担当者必見!アプリのセキュリティ対策

 2020.10.26  2022.07.12 EGセキュアソリューションズ

日常生活において、当たり前のように使用しているのがスマホアプリ、Webアプリです。パソコンのみならず、スマートフォンやタブレットの利用者が増えるのに比例して、アプリのセキュリティリスクも高くなっています。

本稿では、アプリ担当者が意識しておくべきセキュリティ対策について解説していきます。

セキュリティの重要性と現状

WhiteHat Securityは、2019年アプリのセキュリティに関する調査レポートを公開しました。同レポートによると、開発者の85%がコーディングや開発プロセスにおいてセキュリティは非常に重要だと考える一方で、75%はそのようなアプリのセキュリティについて危惧している現状がわかりました。(※1)

サイバーセキュリティにまつわる懸念と、アプリに求められるセキュリティのサポートが乖離していることが明らかになった形です。

中では、アプリのセキュリティが現在進行形の問題になっていることも示されています。同レポートによると、アプリ開発において、セキュリティ対策よりも決められたリリース日に間に合わせる方を優先すると答えた回答者が43%にものぼっています。

つまり、プログラマーはきちんと動作するアプリを指定された日までに提供するというプレッシャーの下で、納期を間に合わせるためにセキュリティを二の次にしたり、簡易的な対策しかとっていないという実情があるのです。

(※1)「開発者の75%がアプリのセキュリティを懸念--問題の所在は

【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~

【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

詳細はこちら

意識しておくべきセキュリティ対策

主なセキュリティ対策は、大きく以下の2つに分別されます。 

  • 不正アクセスやウイルスなど、外部からのサイバー攻撃に対する対策
  • アプリケーションなど、開発するシステムの内部に組み込む対策

アプリ担当者がまず意識しなければならないのが、内部に組み込む側のセキュリティ対策です。以下に一般的な例を挙げてみます。

SSL/TLSでの暗号化通信

パソコンとサーバー間の通信データを暗号化することで、通信時に内容を他者に読み取られないようにします。通信内容を読み取られると、悪用されてクレジットカードの不正利用などにつながります。

ソースコードの難読化

アプリのプログラムを解読されにくくします。ソースコードを解読されると、その中にあるバグや脆弱性をつかれて、サイバー攻撃を受ける可能性があります。

 

セキュリティ対策が重要とはいえ、アプリ担当者がプログラムの脆弱性について日々チェックするのは現実的ではありません。開発の進捗やスケジュールなど、確認しなければならないことが沢山あるからです。そこで、アプリを企画設計する段階から少なくとも以下の2点は意識しておいてください。

1.個人情報などの不必要な情報は扱わない

取り扱う情報量が増えれば、それだけセキュリティリスクは高まります。アプリ内に会員登録フォームを設けるケースも多いですが、本当に必要かどうか、設計する前に確認しておきましょう。

2.HTTPS経由でサイトを表示する

インターネットの通信方式には主にHTTPとHTTPSがありますが、安全なのはHTTPSでの通信です。HTTPSによる通信では、アクセスしているサーバーの身元証明ができるほか、やり取りする情報が全て暗号化されます。

さらに、データベースへアクセスしたり、Web管理画面からコンテンツを更新したりする仕組みが加わると、WAF(Web Application Firewall)のようなWebサーバー側でのセキュリティ対策も必須となります。

セキュリティトレンドの把握

OWASP Top 10は、OWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。

その時期に流行して大きな被害が発生したり、Webセキュリティにおいて警戒しなければならない項目がリスト化されています。このような最新のセキュリティトレンドについても定期的にチェックしておくことが重要です。

参考までに、最新のOWASP 2017で挙げられているTop 10の脅威は以下の通りです。

  1. インジェクション
  2. 認証の不備
  3. 機微な情報の露出
  4. XML外部エンティティ参照(XXE)
  5. アクセス制御の不備
  6. 不適切なセキュリティ設定
  7. クロスサイト・スクリプティング(XSS)
  8. 安全でないデシリアライゼーション
  9. 既知の脆弱性のあるコンポーネントの使用
  10. 不十分なロギングとモニタリング

まとめ

今回の記事では、アプリ担当者のセキュリティ意識の現状と対策、そして把握しておきたいトレンドについてご紹介しました。これを機に、セキュリティ対策の見直してみてはいかがでしょうか。

弊社では、Webアプリケーションを保護するWAF製品「SiteGuardシリーズ」を提供しています。ご興味ありましたら、是非お問い合わせください。

WAFとは

WAFとは

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。

詳細はこちら
入門:HTML(Hyper Text Markup Language)
アプリケーションの脆弱性はどのように診断し対策するのか?診断の実践をご紹介

RECENT POST「入門」の最新記事

入門

2022.06.02

情報セキュリティガイドラインとセキュリティポリシー策定のヒント
入門

2022.05.27

メジャーになれなかった「フェールワンス」 ~SiteGuard WP Plugin 開発裏話~
入門

2022.01.24

【セキュリティ対策の必要性】知らないうちに負っている重大なリスク
入門

2021.12.24

オンプレミスとは何だろう? クラウドとの違いとセキュリティ
企業のアプリ担当者必見!アプリのセキュリティ対策
5分でまるわかり!WAFによるサイバー攻撃対策
1分でわかる「SiteGuardシリーズ」
RECENT POST 最新記事
情報セキュリティガイドラインとセキュリティポリシー策定のヒント

情報セキュリティガイドラインとセキュリティポリシー策定のヒント
メジャーになれなかった「フェールワンス」 ~SiteGuard WP Plugin 開発裏話~

メジャーになれなかった「フェールワンス」 ~SiteGuard WP Plugin 開発裏話~
【セキュリティ対策の必要性】知らないうちに負っている重大なリスク

【セキュリティ対策の必要性】知らないうちに負っている重大なリスク
オンプレミスとは何だろう? クラウドとの違いとセキュリティ

オンプレミスとは何だろう? クラウドとの違いとセキュリティ
情報セキュリティとは?3つの要素と3つの脅威を解説

情報セキュリティとは?3つの要素と3つの脅威を解説
ブログ無料購読
RANKING人気記事ランキング
TOPIC トピック一覧
SEARCHブログ内検索