Web セキュリティ担当者のための脆弱性診断スタートガイド 第 2 版 上野宣が教える新しい情報漏えいを防ぐ技術(ウェブセキュリティタントウシャノタメノゼイジャクセイシンダンダイニハン ウエノセンガオシエルアタラシイジョウホウロウエイヲフセグギジュツ)

『 Web セキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』は 2016 年 8 月 1 日に初版が刊行されて 2 年が経ちました。日々変更されるセキュリティリスクに対応するため、さまざまな項目が見直されています。本書でも最新の状況に対応するため、 OWASP Top 2017 に沿って内容を一新いたしました。改訂版では、改訂されたガイドラインの解説、追加された脆弱性の説明、診察する箇所の見直し、診断ツールの最新版に対応などを行っています。

本書は Web アプリケーションの脆弱性をチェックするための解説書です。 Web アプリケーションはユーザーの個人情報や商品情報など重要な情報を扱っています。 Web アプリケーションの開発者がセキュリティに自信がある場合でも、開発者の勘違いや設計ミスなどがあることで Web アプリケーションに侵入・改ざんなどが行われ、個人情報が盗まれる恐れがあります。

本書では Web アプリケーションの開発に必要なセキュリティを確認するための脆弱性診断についてまとめています。脆弱性診断を行う際のスタンダードツールとなっている OWASP ZAP と Burp Suite を使用することで、開発者やセキュリティ担当者がセキュリティに問題がないかを検査することができます。

本書の前半では、 Web アプリケーションがどのような仕組みで通信をし、脆弱性がどのようなものかといった診断に必要なネットワークの知識を学んでいきます。後半では、実際に問題がある BadStore という Web アプリケーションを使用し、仮想マシン上で実際に手を動かしながら脆弱性診断の手法を学んでいきます。診断の仕方は OWASP ZAP を使用して自動的に脆弱性診断を行う方法と、 Burp Suite を使用して手動でフォームなどのパラメータに検査パターンを挿入し診断する方法など様々な手法を解説しています。また、脆弱性診断を行う際に便利な脆弱性診断ガイドラインも付いています。

著者の上野宣は OWASP Japan の代表であり、脆弱性診断の第一人者です。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができますので、 Web アプリケーションの開発者だけでなく、経営者の方にもおすすめの 1 冊です。