出版社内容情報
Webサイトを狙った攻撃が相次いでいる。
多くの企業にとって、仕事のうえで欠かせないWebサイトが乗っ取られたり、不正侵入されたりすると、会社の信用も含めて被害は甚大なものになる。つまりセキュリティ確保は喫緊の課題なのだ。
もちろんWebサイトをビジネスに活用している企業にとって、Webセキュリティは技術者だけの問題ではない。ユーザー部門やマネジメント層も関わるべき重要な課題だ。
そこで本書では、Webセキュリティの第一人者である徳丸浩氏に、Webセキュリティの本質や新常識について分かりやすく解説してもらう。
【第1章・概要】狙われるWebサイト、セキュリティ確保は経営問題に
1-1 進化する手口、変わらぬ本質
Web侵入事件の歴史に学ぶ
1-2 設計や仕様にも危険が潜む
脆弱性の本質を理解しよう
【第2章・攻撃手法】パスワード破りやなりすましの危険、攻撃はもはや防げない
2-1 相次ぐSQLインジェクション攻撃
発注者の意識不足が原因の一端
2-2 21秒ごとに1文字ずつ盗み出す
SQLインジェクションの手口
2-3 「パスワード破り」が相次ぐ
利用者とサイトの両方に問題
2-4 セキュリティ機能が通用しない
「XSS」の本当の怖さを理解する
2-5 “誤認逮捕”に発展する恐れ
「なりすまし投稿」を防ぐ
2-6 仮想サーバーのOSを入れ替える
Web改ざんの恐るべき手口
2-7 世間を騒がせた「GHOST」脆弱性
Webサイトも影響を受ける恐れ
2-8 クラウドサービスが乗っ取られる?
ハイパーバイザーの脆弱性に注意
【第3章・対策】セキュリティ対策の主役は発注者。
費用対効果の高い方法を選択しよう
3-1 パッチの提供期間に注意
適用の容易さも考慮すべき
3-2 切り札「WAF」への関心高まる
ホワイトリスト方式は運用困難
3-3 RFPにセキュリティ要件は必須
発注者の意識が何よりも重要に
3-4 脆弱性未対策はベンダーの重過失
賠償金2000万円超の衝撃判決
3-5 パスワードは頻繁に変更すべきか
定量的評価から見えた意外な結果
3-6 相次ぐパスワード漏洩に有効
「ログインアラート」の導入を
3-7 クッキーの「属性」に落とし穴
誤った使い方が危険を招く
3-8 いまだに存在する「怖いクッキー」
悪用される前に改めて確認を
3-9 コストを抑えて安全性を向上
費用対効果が高い対策の導入を
3-10 Webに潜む脆弱性を洗い出す
検査対象の「絞り込み」が重要
3-11 「安全なサイトの作り方」が改訂
脆弱性の根本的な解消に有効
3-12 プロキシー経由で情報漏洩の恐れ
適切なキャッシュ制御が不可欠
3-13 書籍のサンプルコードに脆弱性
周りの若手に注意を促そう
3-14 急増するネットバンキング不正送金
トランザクション認証で対策を
内容説明
Webセキュリティの第一人者がやさしく解説。会社が教えてくれないWebセキュリティの新常識!これ1冊で、Web担当者・経営者が知っておくべきサイバー攻撃の対策が全てわかります。
目次
第1章 概要―狙われるWebサイト、セキュリティ確保は経営問題に(進化する手口、変わらぬ本質 Web侵入事件の歴史に学ぶ;設計や仕様にも危険が潜む 脆弱性の本質を理解しよう)
第2章 攻撃手法―パスワード破りやなりすましの危険、攻撃はもはや防げない(相次ぐSQLインジェクション攻撃 発注者の意識不足が原因の一端;21秒ごとに1文字ずつ盗み出す SQLインジェクションの手口;「パスワード破り」が相次ぐ 利用者とサイトの両方に問題 ほか)
第3章 対策―セキュリティ対策の主役は発注者。費用対効果の高い方法を選択しよう(パッチの提供期間に注意 適用の容易さも考慮すべき;切り札「WAF」への関心高まる ホワイトリスト方式は運用困難;RFPにセキュリティ要件は必須 発注者の意識が何よりも重要に ほか)
著者等紹介
徳丸浩[トクマルヒロシ]
HASHコンサルティング代表取締役社長。1985年京セラ株式会社に入社後、ソフトウエアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当し、2004年に同分野を事業化。2008年に独立して、Webアプリのセキュリティを専門分野とするHASHコンサルティング株式会社を設立した(本データはこの書籍が刊行された当時に掲載されていたものです)
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。
感想・レビュー
※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。
えちぜんや よーた
OjohmbonX
boya
kawamura
hisaos
