SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Special Webinar powered by HENNGE

EnterpriseZine Special Webinar powered by HENNGE

2025年3月25日(火) オンライン開催

Security Online Day 2025 春の陣

Security Online Day 2025 春の陣

2025年3月18日(火)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

'); googletag.cmd.push(function() { googletag.pubads().addEventListener('slotRenderEnded', function(e) { var ad_id = e.slot.getSlotElementId(); if (ad_id == 'div-gpt-ad-1652772241096-0') { var ad = $('#'+ad_id).find('iframe'); if ($(ad).width() == 728) { var ww = $(window).width(); ww = ww*0.90; var style = document.createElement("style"); document.head.appendChild( style ); var sheet = style.sheet; sheet.insertRule( "#div-gpt-ad-1652772241096-0 iframe {-moz-transform: scale("+ww/728+","+ww/728+");-moz-transform-origin: 0 0;-webkit-transform: scale("+ww/728+","+ww/728+");-webkit-transform-origin: 0 0;-o-transform: scale("+ww/728+","+ww/728+");-o-transform-origin: 0 0;-ms-transform: scale("+ww/728+","+ww/728+");-ms-transform-origin: 0 0;}", 0 ); sheet.insertRule( "#div-gpt-ad-1652772241096-0 div{ height:"+(90*ww/728)+"px;width:"+728+"px;}", 0 ); } else { if ($(window).width() < 340) { var ww = $(window).width(); ww = ww*0.875; var style = document.createElement("style"); document.head.appendChild( style ); var sheet = style.sheet; sheet.insertRule( "#div-gpt-ad-1652772241096-0 iframe {-moz-transform: scale("+ww/320+","+ww/320+");-moz-transform-origin: 0 0;-webkit-transform: scale("+ww/320+","+ww/320+");-webkit-transform-origin: 0 0;-o-transform: scale("+ww/320+","+ww/320+");-o-transform-origin: 0 0;-ms-transform: scale("+ww/320+","+ww/320+");-ms-transform-origin: 0 0;}", 0 ); sheet.insertRule( "#div-gpt-ad-1652772241096-0 div{ height:"+(180*ww/320)+"px;width:"+320+"px;}", 0 ); } } } }); }); } else { document.write('
'); document.write('
'); }
EnterpriseZine Press

上野宣さんにきく、こんなにもめんどうくさいWebセキュリティの世界


 Webセキュリティは、本当にめんどうくさい―翔泳社より6月に刊行された書籍『めんどうくさいWebセキュリティ』の監訳を務めた上野宣さんに、Webセキュリティがめんどうくさい理由を聞いてきました。

7/14(土)出版記念イベント
『BugハンターとめんどうくさいWebセキュリティ開催!詳細はこちら

セキュリティの本なのにおもしろい『めんどうくさいWebセキュリティ』

 ―まずは『めんどうくさいWebセキュリティ』について、簡単に説明お願いします。

 ひとことでいうと、はせがわようすけを目指す人向け、でしょうか。

 ―その回答も掲載しますが、真面目な答えもお願いします。

 はい。一番のターゲットはWebセキュリティの研究をしたいという人たちですね。

 ―Webセキュリティを研究したいひと…何人くらいいるんでしょうか。

 1000人もいたら、世の中がもっと良くなっている人なので、本当にいるのは100人くらいかな。でも、この本で1000人くらいにしたいですね。

 ―Webセキュリティを研究する人がもっと増えるべき?

 というか、Webの開発に携わる人は、セキュリティとは切っても切れない縁がある。あと、ちょっとセキュリティに興味があるんだけど…っていう人にも読んでもらいたいなァ。

 ―ターゲットが増えてきましたね。

 この本、セキュリティの本なのにおもしろいんですよ。

 ―最初の章で、セキュリティの歴史がわかりますね。第1次ブラウザ戦争とか。あれは知っている人にとっては周知の歴史なんですか?

 10年ぐらいWebをさわってたら、ぜったい同意できると思いますよ。笑える。15年さわってたら、もう完全に同意。ブラウザ戦争とか懐かしいっていう人たちは多いと思います。

Webセキュリティがめんどうくさい理由

 ―今回、書籍のタイトルが『めんどうくさいWebセキュリティ』ですね。Webセキュリティってめんどうくさいんですか?他のセキュリティにくらべて?

 めんどうくさいですね。本当に。

 ―どのあたりがめんどうくさいのでしょうか。

 他の、たとえばtelnetとかFTPとかSSHとかDNSとかSMTPなどなど…は、プロトコルのレベルで、ほとんどのセキュリティが決まっています。たとえば、認証機能、アクセス制御、全部プロトコルのレベルか、OSで用意したものをそのまま使える。だから、SSHのサーバーを立ち上げたいと思ったら、100人中99人はちゃんとセキュアに立ち上げられると思う。それは世界中の人が、同じOpenSSHっていうサーバーを使ってたりするから。FTPとかSMTPとかは1種類のサーバーソフトじゃないけど、メジャーなものをみんな使ってるから。

 ―でもWebは違う、と。

 Webも、Apache,IISとあるけど、それだけじゃ静的なWebページしか作れない。HTTPっていうプロトコルは、超単純で、最初のバージョンなんて、A4用紙1枚におさまるレベル。「データ下さい」「はいよ」終了!くらいのもんです。HTTPは、もともとは、文書を転送するためのプロトコルとして作られていました。同時期にURLとHTMLができた。なので、HTTPのプロトコルのレベルだと認証機能もまともなのがないし、セッション管理もできないんです。でも、今はWebアプリケーションを使って、認証したり、買い物したり、いろんな機能を実現していますよね。

 ―していますね。

 それらは、これが正しい作り方っていうのを誰も知らないまま作ってるんですよ。

 ―セオリーがない?

 セキュアに作れるセオリーはあるんですけど、知らない。知ろうとしないのかも知れないけど。なので、ほとんどのWebアプリケーションはセキュアじゃない。

 ―それで高木浩光さんにしかられたりするんですね。

 ですね。もっとも、セキュリティをやってる人たちでさえ、2003年頃はWebのセキュリティについては、まだまだ手探りでした。つい最近のことですよね。世界中でWebアプリケーションが5種類ぐらいなんだったら、今ごろは結構セキュアなのかもしれないけど、そうじゃないですしね。

 ―サービスの数だけ、Webアプリケーションがある。

 だから、めんどうくさい。何でも自由にできるHTTPというプロトコルに真っ先に飛びついた人たちは、いろんな機能を実現しました。で、セキュリティは後追いになりました。後付けでセキュリティを作って行くのは、その機能を阻害しないようにするのは難しいこともあります。

 ―なるほど。できれば、これからWeb開発に携わる人が、最初からセキュアに作ってくれるのが理想ですよね。

 ブラウザの会社が、勢いで「俺、こんな機能作ったぜ!」みたいなのを、後でセキュリティのことを考えるのめんどうくさい。

 ―たしかに、めんどうくさそうですね。

 最初からセキュアに作ってくれたら、すごく楽だろうなァ…

 ―たしかに。上野さんも、そういうめんどうくさい思いをしているんですか。

 してますよ。日々、めんどうくさいですね。

 ―どんな感じなんですか、そういう仕事の感じは。どんな風にめんどうくさいんですか。

 次から次に新しい機能が登場して、そしてその機能の数を2乗したぐらいのセキュリティがあって、めんどうくさい。私は最先端の研究者じゃないので、特定の分野を深追いするのではなく、わりと固まってきた部分を、やさしく人に説明するのが仕事です。

 ―わりと固まってきた部分というのは?

 世の中でセオリーになってもいいぐらい、常識的な方法。たとえば、SQLインジェクションできないようにするには、静的プレースホルダーを使えとか。でも、そういうセオリーだけでも使いこなせたら99%ぐらいのリスクは排除できると思います。

 ―なるほど。この本にはそういうことも書いてありますか?

 セオリー書いてありますよ。基本はセオリー通りなんですよ。迷ったら、セオリー通り。新しいことが登場しても、基本的な戦略で対応可能。この本は比較的新しいことばかり書いていますけど、その対策はセオリー通りなんだなァと思いますよ。

 ―でも、それすら知らないで作ってる人が多いということですね。

 そうなんです。

めんどうくさくて楽しい!―上野宣、日々の暮らし

 ―最後に上野さん自身の話をもう少し。上野さんは、どういうポジションなんでしょうか。バグハンターとか、セキュリティ技術者とか、そういうので言うと…教育者ですか?

 何なんでしょうね。どう思われているんだろう。こないだ、三輪(信雄)さんが、白浜(シンポジウム)の帰りに「上野君って教育やってたんだー」って(笑)。いやいやその会社(株式会社トライコーダ)ですから!って思いましたけど。

 ―メディアの人でもあるんですよね。仕事の割合はどれくらいですか?

 教育が大半ですかね。なにをもって「仕事」とするのかが微妙なところですが。ボランティアばっかりやってますし。

 ―そうなんですか…

 4月5月はボランティアで終わりました。お金稼いでいません(笑)!

 ―ええ!暮らしていけるんですか?

 他の月に稼いでおいて…

 ―セキュリティの仕事は儲からない?

 セキュリティの仕事がどうということじゃなくて、他の人は会社に勤めているから、ボランティアしても給料あるからいいけど、僕はボランティアやると、本当にボランティアだけになっちゃうので、お金ないです(笑)。お金をもらって海外のカンファレンスに行ったことはないですよ!

 ―傍から拝見していると、優雅そうに見えるんですよね。走ったり、野菜作ったり、甘いものを食べたりして…

 お前本当に楽しそうだなってよく言われますよ。

 ―楽しいですか?

 楽しいですよ。趣味を仕事にしたので楽しくないわけがない!

 ―でも、めんどうくさい。

 めんどうくさい!

 ―今日はめんどうくさい中、どうもありがとうございました!

 『めんどうくさいWebセキュリティ』

 Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳)

 価格: ¥ 3,129

 

 ブラウザセキュリティの第一人者による広くて深い1冊!

 

 「Webセキュリティ」と聞くと、どうにも腰を上げるのが億劫になってしまいがち。けれども、Webの原動力を支えるには必要不可欠な技術要件。その現状を、深い洞察とともにコンパクトにまとめました。

 

 Webアプリケーションセキュリティの世界で何が起きているか、その現状をシステマチックかつ徹底的な分析をした初めての本です。

7/14(土)出版記念イベント
『BugハンターとめんどうくさいWebセキュリティ開催!詳細はこちら

 

' ); }

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

小泉 真由子(編集部)(コイズミ マユコ)

情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/4076 2017/02/22 17:30

Job Board

AD

' ); document.write(''); } $(window).on('load', function() { // 中身が無い広告でslotOnloadを通らない場合がある var show_ad = 0; dfp_job_board.map(function(ad_id) { var ad = $('#'+ad_id[0]).find('iframe').last(); var contents = ad.contents(); if (contents.find('body').length === 0 || !contents.find('body').html()) { $('#' + ad_id[0]).remove(); //$('#' + ad_id[0]).attr('class', 'noad'); } else { show_ad++; } }); if (show_ad == 0) { $('.ad-job-board-wrap-sp').hide(); } }); } else { $('.ad-job-board-wrap-sp').hide(); }

おすすめ

アクセスランキング

  1. 1
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  2. 2
    金融庁、JCB、マネーフォワード、PwCが語るオープンファイナンスの未来──日本の金融APIが直面する標準化課題 NEW
  3. 3
    生成AIや量子技術で生まれる新たな脅威とは?企業に求められるセキュリティ対策のパラダイムシフト
  4. 4
    実は国内重工業の大半がユーザー、IFSが目指す日本でのさらなる躍進──グループCOOが語る強さの秘密
  5. 5
    AI活用でより重視される「データ品質」を向上させるには?運用成功のステップを解説 NEW
  1. 6
    グローバルIT基盤をAWSに統合したサントリー、“変革の土台”を活かして次期基幹システムの構想始まる
  2. 7
    「経済安全保障推進法」対応のための製品ライフサイクルセキュリティとは?──日本HPが調査結果から提言
  3. 8
    ぐるなび、「Snowflake×生成AI×アジャイル開発」でリリースを加速化──"2つのサイロ"解消でデータ民主化を実現
  4. 9
    パーソル/資生堂/日テレの生成AI推進リーダーと探る、導入しただけで終わらせない“成果を出す共通項”
  5. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築

アクセスランキング

  1. 1
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  2. 2
    金融庁、JCB、マネーフォワード、PwCが語るオープンファイナンスの未来──日本の金融APIが直面する標準化課題 NEW
  3. 3
    生成AIや量子技術で生まれる新たな脅威とは?企業に求められるセキュリティ対策のパラダイムシフト
  4. 4
    実は国内重工業の大半がユーザー、IFSが目指す日本でのさらなる躍進──グループCOOが語る強さの秘密
  5. 5
    AI活用でより重視される「データ品質」を向上させるには?運用成功のステップを解説 NEW
  6. 6
    グローバルIT基盤をAWSに統合したサントリー、“変革の土台”を活かして次期基幹システムの構想始まる
  7. 7
    「経済安全保障推進法」対応のための製品ライフサイクルセキュリティとは?──日本HPが調査結果から提言
  8. 8
    ぐるなび、「Snowflake×生成AI×アジャイル開発」でリリースを加速化──"2つのサイロ"解消でデータ民主化を実現
  9. 9
    パーソル/資生堂/日テレの生成AI推進リーダーと探る、導入しただけで終わらせない“成果を出す共通項”
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    Oracleが富士通やNRIなどと進めるソブリンクラウド、成否の鍵は“日本国内での運用体制”が握る
  2. 2
    「日本はソフトウェア重視の意識転換を」及川卓也氏×田中邦裕氏が語る、IT人材“手の内化”の重要性
  3. 3
    「再び日本の製造業を強くしたい」。一念発起したYKK AP CIO 兼 CDOの深田しおりさんが描く青写真
  4. 4
    情シスのPC選定、AI時代にどう変わる? ITジャーナリストが指南、価格と性能以上に必要な視点とは
  5. 5
    国産LLMはガラパゴス化するのか?生成AIが「幻滅期」を迎える今、“次の波”を乗り越えるための道とは
  6. 6
    パーソル/資生堂/日テレの生成AI推進リーダーと探る、導入しただけで終わらせない“成果を出す共通項”
  7. 7
    人口2,000人強の三宅村がデジタル化で先行するワケ──全島避難によるBCP対策がガバクラ移行を後押し
  8. 8
    SMBCグループ、「75%自動化を実現し、さらに完全を目指す」──「会計業務共通化プロジェクト」の全容
  9. 9
    フィッシング報告件数が急増中!メールフィルターもすり抜ける“詐欺メール”を見抜くには
  10. 10
    ぐるなび、「Snowflake×生成AI×アジャイル開発」でリリースを加速化──"2つのサイロ"解消でデータ民主化を実現

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

メールバックナンバー

アクセスランキング

  1. 1
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  2. 2
    金融庁、JCB、マネーフォワード、PwCが語るオープンファイナンスの未来──日本の金融APIが直面する標準化課題 NEW
  3. 3
    生成AIや量子技術で生まれる新たな脅威とは?企業に求められるセキュリティ対策のパラダイムシフト
  4. 4
    実は国内重工業の大半がユーザー、IFSが目指す日本でのさらなる躍進──グループCOOが語る強さの秘密
  5. 5
    AI活用でより重視される「データ品質」を向上させるには?運用成功のステップを解説 NEW
  1. 6
    グローバルIT基盤をAWSに統合したサントリー、“変革の土台”を活かして次期基幹システムの構想始まる
  2. 7
    「経済安全保障推進法」対応のための製品ライフサイクルセキュリティとは?──日本HPが調査結果から提言
  3. 8
    ぐるなび、「Snowflake×生成AI×アジャイル開発」でリリースを加速化──"2つのサイロ"解消でデータ民主化を実現
  4. 9
    パーソル/資生堂/日テレの生成AI推進リーダーと探る、導入しただけで終わらせない“成果を出す共通項”
  5. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築

アクセスランキング

  1. 1
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  2. 2
    金融庁、JCB、マネーフォワード、PwCが語るオープンファイナンスの未来──日本の金融APIが直面する標準化課題 NEW
  3. 3
    生成AIや量子技術で生まれる新たな脅威とは?企業に求められるセキュリティ対策のパラダイムシフト
  4. 4
    実は国内重工業の大半がユーザー、IFSが目指す日本でのさらなる躍進──グループCOOが語る強さの秘密
  5. 5
    AI活用でより重視される「データ品質」を向上させるには?運用成功のステップを解説 NEW
  6. 6
    グローバルIT基盤をAWSに統合したサントリー、“変革の土台”を活かして次期基幹システムの構想始まる
  7. 7
    「経済安全保障推進法」対応のための製品ライフサイクルセキュリティとは?──日本HPが調査結果から提言
  8. 8
    ぐるなび、「Snowflake×生成AI×アジャイル開発」でリリースを加速化──"2つのサイロ"解消でデータ民主化を実現
  9. 9
    パーソル/資生堂/日テレの生成AI推進リーダーと探る、導入しただけで終わらせない“成果を出す共通項”
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    Oracleが富士通やNRIなどと進めるソブリンクラウド、成否の鍵は“日本国内での運用体制”が握る
  2. 2
    「日本はソフトウェア重視の意識転換を」及川卓也氏×田中邦裕氏が語る、IT人材“手の内化”の重要性
  3. 3
    「再び日本の製造業を強くしたい」。一念発起したYKK AP CIO 兼 CDOの深田しおりさんが描く青写真
  4. 4
    情シスのPC選定、AI時代にどう変わる? ITジャーナリストが指南、価格と性能以上に必要な視点とは
  5. 5
    国産LLMはガラパゴス化するのか?生成AIが「幻滅期」を迎える今、“次の波”を乗り越えるための道とは
  6. 6
    パーソル/資生堂/日テレの生成AI推進リーダーと探る、導入しただけで終わらせない“成果を出す共通項”
  7. 7
    人口2,000人強の三宅村がデジタル化で先行するワケ──全島避難によるBCP対策がガバクラ移行を後押し
  8. 8
    SMBCグループ、「75%自動化を実現し、さらに完全を目指す」──「会計業務共通化プロジェクト」の全容
  9. 9
    フィッシング報告件数が急増中!メールフィルターもすり抜ける“詐欺メール”を見抜くには
  10. 10
    ぐるなび、「Snowflake×生成AI×アジャイル開発」でリリースを加速化──"2つのサイロ"解消でデータ民主化を実現