実体験と無謀な行為はまったく違う

セキュリティについても同様な経験が活きる。「セキュリティの実体験」には大きくわけて2つがある。

1つは「セキュリティに配慮しつつ攻撃されるのを待ち、速やかに対処する」という受身の実体験だ。そしてもう1つは「テスト環境を用意して、実際に攻撃／対処の両面から検証を行う」という攻めの実体験だ。

例えば2003年にはネットワークウイルス「Blaster」が猛威を振るった。

ある人は「単にワクチンソフトなどでウイルスに対処するだけでなく、いくつかの環境を用意して感染する場合としない場合の違い、感染したときの対処法などを学ぶことができた」と語ってくれた。

しかしこれはあくまでも、対策をほどこした上で行った実験とのことで、「実環境でむやみに感染実験を繰り返すということは、他者に対する感染の機会を増やすだけの迷惑行為だ」と続けた。

必要なのは、あるセキュリティ上の脅威が起こったときに「その影響範囲と起こりうる被害を正しく理解し、外部への影響が起こらない環境を別に用意して実験を行う」ということだ。

そこで重要になるのは、正しいテスト環境の構築だ。

まずはテスト環境からはじめてみよう

本連載「セキュリティホールをついて遊ぶ」の第2回以降では、読者の方々に攻めの実体験をつむためのテスト環境を提供する。

その環境として選んだのは、現在多くのWebサービスで活用している「PHP」と、注目の環境「Ruby on Rails」の2つである。このどちらをあつかった記事も、Think ITの中で人気の上位となっている。

これらのソフトウェアは日々バージョンアップが行われ、可能な限りセキュリティ上の問題が起こらないよう、修正が施されている。

そこで本連載では、敢えてこれらのソフトウェアの対策前の旧バージョンでテスト環境の構築を行っていく。その環境下では、どのような手法で攻撃が行われ、どのような被害が起こり、修正されるに至ったのかを追体験していく。

第2回では「PHP」を取り上げ、さまざまな場所でキーワードとして取り上げられた「SQLインジェクション」について、「どのように行われるのか」を実際に体験する。

公開は1月18日。乞うご期待！ タイトルへ戻る