セキュアコーディングとは何ですか?
セキュア コーディングとは、悪意のある行為者やマルウェアからの攻撃に耐えることができる堅牢なプログラムを作成することを指します。 インターネットでは、ソフトウェアの脆弱性が攻撃に悪用されたり、マルウェアの侵入口として利用されたりすることがよくあります。 これらの脆弱性の多くは、不注意な設計やプログラミングエラーに起因しています。 セキュア コーディングとは、このような脆弱性を防ぐことを目的としたコーディング手法の総称です。
たとえば、Webapplicationsでは、フォームから受け取った入力は常にサニタイズされる必要があります。つまり、攻撃に使用される可能性のある有害な文字が削除される必要があります。 安全なコーディングでは、「いかなる入力も信頼しない」という原則が最も重要です。 プログラムが予期しないデータを受信した場合でも、セキュア コーディングにより、厳密な入力検証を通じてapplicationが予測どおりに安全に応答することが保証されます。 これは安全なコーディングへの第一歩です。
さらに、Webapplicationのセキュリティ上の課題の解決に重点を置いたグローバルなオープン コミュニティである OWASP (The Open Web Application Security Project) が提供するツール、フレームワーク、ガイドラインを活用することで、Webapplicationsのセキュリティを大幅に強化できます。
ただし、すべての Webapplicationに安全なコーディング手法を包括的に適用するのは簡単な作業ではありません。 この課題に対する実際的な解決策は、Webapplicationファイアウォール (WAF) を実装することです。 WAF はアプリケーション レベルの通信を監視し、悪意がある、または疑わしいと判断されたトラフィックをブロックできます。 こうしたソリューションの注目すべき例としては、Webapplication攻撃に対する強力な保護を提供するF5 BIG-IPが挙げられます。