こんにちは、穂苅と申します。
前回は、ゼロトラストについて見ていきました。ご興味のある方はぜひご覧ください。
今回は、Webセキュリティの「認証」です。「認証」と聞くとどのようなイメージを持ちますでしょうか。
不正アクセスで最大約90万件の個人情報漏えいの可能性
まずは、セキュリティ被害の事例から見てみます。プレスリリース配信サービスの「PR TIMES」を使ったことがある方もいらっしゃると思います。株式会社PR TIMESで、サーバに第三者からの不正アクセスとサイバー攻撃があり、最大で約90万件の個人情報が漏洩した可能性があると 2025年5月に発表されました。
システムの管理者画面に入るには、IPアドレス認証、Basic認証、ログインパスワード認証の突破が必要でしたが、リモートワークの影響もありアクセス許可をするIPアドレスを増やしたようで、追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われてしまったということです。
そこで、不審なファイルを停止し、不正アクセス経路の遮断とパスワード変更などの対応をしましたが、攻撃が確認され一定のデータ転送も確認されているということで、情報漏えいの可能性が懸念されています。漏えいの可能性がある個人情報が最大で90万件あり、氏名・メールアドレス・電話番号・ハッシュ化されたパスワード情報などが含まれています。
Webセキュリティにおける「認証」
Webアプリケーションでは、誰がアクセスしているかを判別できなければ、機能もセキュリティも破綻します。認証は、「ユーザーがアプリケーションを正しく・安全に使うための前提条件」です。
認証がなぜ重要なのかというと、セキュリティの根幹としての意味合い、制御機能のトリガーとしての意味合い、他のセキュリティ施策を実施する際の基本という意味合いなどがあります。
セキュリティの根幹としては、多要素認証・多段階認証などの手法や OAuthなどの外部認証を組み合わせるのか、などといった認証のアプローチがあります。更に、セッション認証やトークン認証などの理解も必要です。
制御機能のトリガーや他のセキュリティ施策の基本という部分では、認証によってそのユーザーの権限を把握できるため、権限に応じた情報の表示や編集、設定などを制御できるということになります。
パスワードは多くのケースで認証の基本ですが、使い回しや簡易なパスワードを認めない工夫、パスワードの平文保存は絶対させずにハッシュ化して保存するなどの注意点がいくつもあります。
Webセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
認証は、Webセキュリティにおいてとても重要な要素です。アプリケーション開発者は正しい知識を持って実装を行わないと、影響の大きな事故になってしまう可能性もあります。
こういったWebセキュリティ関連の知識について、詳しくなりたい場合は、徳丸本を学ぶことをおすすめします。
徳丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、
ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室