Programming – ページ 2 – yohgaki's blog

Development, Programming, Secure Coding, Security

セキュリティ機能の利用はソフトウェアセキュリティではない

1月 29, 2019 #7PK, #アンチプラクティス, #セキュアコーディング, #セキュアコーディング概念投稿者 yohgaki

7PK（7つの悪質な領域 – CWE-700として定義されている業界標準のソフトウェアセキュリティ分類）では「セキュリティ機能はソフトウェアセキュリティではない」としています。明白なのは「他のソフトウェアやデバイスのセキュリティ機能によるセキュリティ」です。7PKでは例としてHTTPSを挙げています。

HTTPSは必要なセキュリティ機能ですが、HTTPSの利用＝ソフトウェアセキュリティ、ではありません。HTTPSを使って保護できる分野はありますが、HTTPSを使っても開発者が作っているソフトウェアのセキュリティを作る物ではないからです。

結局の所、他の”モノ”に頼らず開発者が作っているソフトウェアの中でセキュリティを作らないとソフトウェアは安全になりません。7PKの「セキュリティ機能はソフトウェアセキュリティではない」とは、「ソフトウェアセキュリティはそのソフトウェアを開発している開発者が実現する」ということです。

※ 7PKはソフトウェアセキュリティの基礎概念の一つと考えられています。（CWE-700）セキュリティ機能を使うこと自体はセキュリティ対策になります。しかし、セキュリティ機能を使う＝ソフトウェアセキュリティ対策、にはなりません。「セキュリティ機能を使う」は「必要なセキュリティ対策」のサブセット（一部、それも極一部）でしかないからです。「セキュリティ機能を使う」＝「必要なセキュリティ対策」、こういった誤解が度々あるので7PKでは「セキュリティ機能」の解説として態々明示していると思われます。一言でいうなら「ソフトウェアセキュリティは”その”ソフトウェアを作っている開発者の責任に於て作るモノ」です。「◯◯、△△、を使えばOKではない」です。

もっと読む

Computer, Development, Programming, Secure Coding

7PK – APIの乱用とは？

1月 23, 2019 #7PK, #セキュアコーディング概念, #セキュリティ標準投稿者 yohgaki

7PKとは「Seven pernicious kingdoms: a taxonomy of software security errors」の略でソフトウェアセキュリティ領域の分類の一つです。CWEのビューのCWE-700としても利用されています。CWE-700となっているので、ISO 27000などのセキュリティ標準で要求される「セキュアコーディング」の基礎知識として知っておくべき分類方法／概念です。

入力バリデーションの次に重要な領域である「APIの乱用／誤用」を紹介します。

※ 入力バリデーションが第一番目である理由は、入力データの妥当性が保証されていなとプログラムは絶対に正しく動作しないからです。不正な入力で動作しているように見えても、誤った出鱈目な結果を返しているだけです。プログラムが脆弱性なく正しく動作する為には入力バリデーションが欠かせません。

もっと読む

Development, Programming, Secure Coding

7PK – セキュリティソフトウェア ≠ ソフトウェアセキュリティ

1月 21, 2019 #7PK, #セキュアコーディング概念, #セキュリティ標準投稿者 yohgaki

CWE-700としても知られる7PK（7つの悪質な領域／王国）のIEEE Explorerの論文解説では、「セキュリティ機能（Security features）」はソフトウェアセキュリティではない、としています。

Software security isn’t security software. All the magic crypto fairy dust in the world won’t make your code secure, but it’s also true that you can drop the ball when it comes to essential security features.
ソフトウェアセキュリティはセキュリティソフトウェアではない。全ての魔法のような暗号などはあなたのソフトウェアを魔法の様に安全にはしない、不可欠なセキュリティ機能の場合では削除／省略することが不可能であることは事実だが。

暗号を例に「HTTPSがソフトウェアをセキュアにはしない」としています。これは暗号だけには留まりません。

※ 7PKとはソフトウェアセキュリティ全体を包括する7つの脆弱性分類を定義する論文です。実際には7つの領域＋1つ（環境）を定義しています。

もっと読む

Development, PHP Security, Programming, Secure Coding

コードの共通化を原則とするのはアンチプラクティス〜現代のプログラミング原則

1月 11, 2019 #セキュアコーディング, #セキュアコーディング論理投稿者 yohgaki

同じ処理を行うコードの共通化は、基本的には、ベストプラクティスです。しかし、アンチプラクティスとなる場合もあります。

もっと読む

Development, PHP Security, Programming, Secure Coding

開発者必修の7PKとは？

1月 7, 2019 #7PK, #セキュアコーディング論理, #セキュリティ標準, #入力バリデーション投稿者 yohgaki

7PKという用語を聞いた事がある開発者も多いと思います。7PKは業界標準のソフトウェアセキュリティ分類です。まだの方はこれを機会に是非覚えてください。CERT Top 10 Secure Coding Practicesと同じく開発者全員に必修の用語と概念と言えます。何故なら、CERT Top 10 Secure Coding Practicesも7PKも知らないのならISO 27000(ISMS)、NIST SP800-171に対応するアプリケーションは作れないからです。

※ 7PKやCERTセキュアコーディング原則を知らなくても、セキュアなソフトウェアを作ることも可能かも知れません。しかし、それはかなり遠回りになるでしょう。

もっと読む

Development, PHP Security, Programming, Secure Coding

MITREがCWEを大幅更新〜セキュアコーディング対応を強化〜

1月 6, 2019 #セキュアコーディング技術, #セキュアコーディング論理, #セキュリティ標準, #入力バリデーション, #未検証入力投稿者 yohgaki

CWEはセキュアなソフトウェア開発を行う開発者にとっては欠かせない情報源です。2019年1月3日にCWE (Common Weakness Enumeration – 共通脆弱性タイプ） 3.2が公開されました。大幅更新と言える内容になっています。

この更新を一言で言うと「セキュアコーディング対応の強化」でしょう。

もっと読む

Computer, Development, PHP Security, Programming, Secure Coding

IPAの「安全なウェブサイトの作り方」は安全な作り方のガイドではない

12月 25, 2018 #セキュアコーディング, #入力バリデーション, #未検証入力投稿者 yohgaki

IPAは「安全なウェブサイトの作り方」とする資料を長年公開しています。しかし、これが、重大な誤りにより、全く安全ではないWebサイトの作り方なっています。

重大な誤りとは以下です。

CWE-20 – 出鱈目なデータを排除する検証（入力バリデーション）について一切記載がない

コンピューターサイエンス／システムエンジニアリングの観点から考える情報セキュリティはISO 27000で標準としてまとめられています。GDPRなどの法制度やNIST SP800-171の義務化などISO 27000の重要性は高まるばかりです。ISO 27000は2000年から、入力バリデーションだけは具体的な対策を記述し、セキュアコーディング／セキュアプログラミングの導入を要求しています。

ISO 27000の基礎的要求事項を無視したセキュリティ対策で情報漏洩問題などが発生した場合、契約で定めた上限以上の損害賠償を課されるリスクが高くなります。法的な意味からも現在のIPAの「安全なWebサイトの作り方」は危険であると言えます。

※ 開発者が「入力バリデーションはしている」と思っている場合でも、穴だらけで脆弱／非効率で問題あり、である場合がほとんどです。MVCモデルのモデルでバリデーションしている！といった場合、ほぼ100％不十分なバリデーションしかしていません。そんなドイツ人開発者と議論した事もあります。

もっと読む

Development, PHP Security, Programming, Secure Coding

エラーと例外とセキュアコーディング／セキュアプログラミング

12月 23, 2018 #エラー処理, #セキュアコーディング, #未検証入力投稿者 yohgaki

エラーと例外の使い方は異なります。エラーより例外が推奨されていますが、これはセキュアコーディング／セキュアプログラミングの考え方とも関連しています。この辺りを整理してみます。

もっと読む

PHP Security, Programming, Secure Coding

正規表現をより安全に使う方法

12月 23, 2018 #ReDoS, #セキュアコーディング, #入力バリデーション, #正規表現投稿者 yohgaki

正規表現は危険です。様々なリスクが正規表現にはあります。簡単に正規表現リスクとより安全に使う方法を紹介します。

もっと読む

Development, PHP Security, Programming, Secure Coding

CWE-20は知られているか？〜開発者必修のNo.1脆弱性のハズが知られていない〜

12月 21, 2018 #セキュアコーディング, #セキュリティ標準, #入力バリデーション, #未検証入力投稿者 yohgaki

CWE-20とは何か？と聞かれて即答できる開発者は多くないと思います。そもそもCWEとは何か？もあまり知られていないかも知れません。

実はCWE-20 不適切な入力バリデーション はソフトウェアセキュリティで最も重要な脆弱性とされています、CWEのみでなく情報セキュリティ標準的に情報セキュリティ関連法的にも。

※ CWE: Common Weakness Enumeration (共通脆弱性タイプ)

CWEは脆弱性識別子のCVEで有名なMITRE（米国でのIPAの様な組織）が管理するソフトウエア脆弱性パターンを列挙したドキュメント／データベースです。日本語名の通り、よくある共通のソフトウェア脆弱性を集めた物がCWEです。

もっと読む

Computer, Development, Programming

PHP 7.3

12月 2, 2018 #PHP 投稿者 yohgaki

PHP 7.3が今月（2018/12）リリース予定です。新機能や機能変更は小振りですが、結構多くの追加／変更があります。ソースコード中のUPGRADINGに変更点は記載されています。ここでは独断と偏見で選んだ重要度が高い追加／変更を紹介します。 ※ PHP 7.3.0 RC6時点のUPGRADINGから紹介します。

記載していない変更の方が多いです。詳しくはリリース版のUPGRADINGを参照してください。

もっと読む

Computer, Database, Development, PHP Security, Programming, Secure Coding

コードで学ぶセキュアコーディング〜 SQLインジェクション編

11月 12, 2018 #SQLインジェクション, #セキュアコーディング, #セキュアコーディング技術, #フェイルセーフ, #フェイルファースト, #入力バリデーション, #出力対策, #未検証入力投稿者 yohgaki

セキュアコーディング原則において、インジェクション対策の為に重要な原則は

原則1：全ての入力をバリデーションする
原則７：全ての出力を無害化する

の２つです。これらに、一般的なプログラミング原則であるフェイルファースト原則とフェイルセーフ原則、ゼロトラストを適用するとセキュアコーディングになります。

簡単なSQLインジェクション対策コードを使ってセキュアコーディングの概念を紹介します。

セキュアコーディング／セキュアプログラミングの原則と技術は国際情報セキュリティ標準（ISO 27000）でも要求される技術です。しかし、根本から誤ったセキュリティ対策の概念が長年啓蒙されています。GDPR対策にもISO 27000は重要です。日本に於てもISO 27000が要求する基礎的対策ができていない場合、法的リスクが非常に高いと言わざるを得ません。

もっと読む

Computer, Database, Development, PHP Security, Programming, Secure Coding

遅すぎるサニタイズではダメな例

10月 26, 2018 #PostgreSQL, #セキュアコーディング論理, #セキュリティ構造, #フェイルファースト, #入力バリデーション, #出力対策, #未検証入力投稿者 yohgaki

PostgreSQL 11がリリースされました。このリリースでto_number()、to_char()、to_date()、to_timestamp()関数の仕様が変更されました。これらは名前の通り入力を変換する関数です。その際に

サニタイズ – ダメな形式のデータを使える／安全なデータ形式に変換する

を行います。保存されるデータ形式は、保存可能な形に変換されます。しかし、これは十分ではないです。遅すぎるサニタイズがダメな例として紹介します。

※ エスケープやプリペアードクエリもサニタイズ（無害化）の一種です。

もっと読む

Computer, Development, PHP Security, Programming, Secure Coding, Security

危険なコードを書くメカニズム

10月 22, 2018 #アンチプラクティス, #セキュアコーディング技術, #セキュアコーディング論理, #セキュリティ構造, #セキュリティ標準, #ベストプラクティス, #リスク分析, #リスク管理投稿者 yohgaki

世の中のソフトウェアには危険なコードが埋もれています。これがセキュリティ問題の原因になっています。なぜ危険なアプリケーションが書かれるのか？その仕組みを理解すると、対策が可能です。

もっと読む

Computer, Database, Development, PHP Security, Programming, Secure Coding, Security

リスク分析とリスク対応をしよう

10月 16, 2018 #セキュアコーディング, #セキュリティ標準, #ゼロトラスト, #フェイルセーフ, #フェイルファースト, #ベストプラクティス, #リスク分析, #リスク管理, #入力バリデーション, #出力対策, #未検証入力投稿者 yohgaki

情報セキュリティ対策 ≒ リスクの分析、対応と管理、としても構わないくらい情報セキュリティ対策にとってリスク分析は重要です。体系的にまとめられたセキュリティ対策ガイドラインなら、どれを見ても記載されています。

情報システムは「モノ」（物と人）、「ネットワーク」、「ソフトウェア」で出来ています。それぞれリスクを分析、対応、管理する必要があります。

当然、ソフトウェアのリスク分析も重要です。しかし、多くの場合は「脆弱性対策」という形でリスク分析をせずにいきなり対応する、といったショートカットが開発現場で日常的に行われています。目の前にある問題に直ぐ対応しなければならない！といった場合も多いので仕方ない側面もあります。

しかし、問題は開発工程の早い段階で対応すればするほど、少ないコストで対応できます。システム開発に関わる人なら誰でも認識している事です。できる限り早い段階で早く問題に対応する、は情報システム開発の要求仕様のみでなく、セキュリティ要求仕様にも当てはまります。

※ このブログの説明はWebシステムを前提にしています。STRIDE、DREAD、リスクマトリックスなどのリスク分析手法はISO 31000等を参照してください。このブログでは単純なアタックツリー形のリスク分析を紹介しています。

もっと読む