皆さん、こんにちは。ヒゲです。
昨晩は案件受注のお祝いで社長に中華料理をご馳走になりました。神楽坂にある四川料理の店です。
弊社は飯田橋にあり、神楽坂はかなり近いのですが、なかなか神楽坂に行く機会がなく、いくつかお気に入りの店はあるものの、個人的にはたいして店を知らない場所です。
昨晩行っていたこの中華の店は取引先の会社さんに教えていただいたお店で、店内は綺麗で本格的な四川料理がいただけます。
「からいからい、でもおいしー」と舌鼓を打っておりました。
またこういう食事会が開けるよう、お仕事がんばります。
ご馳走様でした>社長
さて、今回は脆弱性について。
インターネットというのは、いわば不特定多数が走る公道のようなところで、ルールを守って走っている人もいれば、中にはルールを破ったり、はたまた良くないことをしでかそうとしている人もいる、ごっちゃまぜの世界です。
パソコンのウィルスやマルウェア、情報漏えいなどなど、インターネットやPC/サーバを取り巻く環境はシビアです。しかも本人だけが被害を受けるならまだしも、そこからまた被害が広がっていくのでとても怖いことです。
不正アクセスから防御するための機器であるファイアーウォールを設置したり、セキュリティソフトを導入したり、OSの脆弱性をついた攻撃から守るためにサービスパックやパッチを定期的にあてて最新のものにする、といった手段は必須です。
たとえば弊社ではファイアウォールやセキュリティソフトを入れているのはもちろん、サーバ機器は月に1度定期メンテナンスをかけて、最新のパッチを適用したりしています。
でも、これだけでは不十分です。
ソフトウェア側にも対策を講じる必要があります。
先日、弊社の製品であるKnowledgeClassroo,やKnowledgeDeliver5およびASPであるナレッジクラスやナレッジデリ3に関しまして、外部の調査会社さんに依頼をし、これらアプリケーションの脆弱性診断を行なっていただきました。
主な調査項目は下記の項目です。
- クロスサイトスクリプティング
- SQLインジェクション
- ディレクトリトラバーサル
- コマンドインジェクション
- 強制ブラウジング
いろいろ専門的な用語が並びますが、それらの詳しい説明は他のサイトに載ってますので、そのあたりを参照ください。たとえば下記のサイトなどよろしいかと思います。
http://www.atmarkit.co.jp/fjava/rensai4/webjousiki11/webjousiki11_1.html
さて、この診断の結果、弊社システムはオールAの評価をいただきました。
これはコメントでいうと「脆弱性が確認されていません。現時点ではセキュリティ上問題の少ない状態と考えられます。」という状態です。
もとよりセキュリティには注意を払って開発を進めていますので、問題はないはずと思っていましたが、こうして外部の調査会社さんに調べてもらうと安心感があります。
ソフトウェアだけが万全だからといって万事OKというわけではありませんし、その逆にインフラだけが万全だからといってOKというわけでもないのですが、ソフトウェアに関して、上記のように外部の調査会社さんよりお墨付きをいただきましたので、どうぞご安心してご利用ください。