Discussion
Closed
php初心者です。
独習phpを読み、勉強しました。
最低限のログイン機能を備えたお金メモのサイト作りました。
infinityfreeとゆうサイトにアップして運用してます。
セキュリティ対策
・ログインの二段階認証なし
・クロスサイトスクリプティング対策なし
・lalavelなどのフレームワークなし
・SQLエスケープ処理なし。
このレベルの技術力で自分が勤めている会社の社内システム(目標管理)を作って、運用するとします。危険でしょうか。
上に挙げたセキュリティ対策だけすれば安心ですか。
また、このような技術レベルで、WEBサイトを作る場合、セキュリティを気にせず運用する方法が他にありますか。
社内システムなら、社内ネットワークで稼働するサーバ、またはクラウド基盤で稼働するが許可GIP制限を付けるサーバだったら、よほどアプリに対して、セキュリティ対策を要求する必要がありません。
社内=よい人の集団
扱うデータ次第かと。
流出してもさほど困らない/法律上問題ないデータであれば、あなたが作成、イントラネットまたはIP制限付きクラウド基盤へのデプロイぐらいの対応で問題ないでしょう。
社内の人間とは言え、もし個人情報等の流出したら困る情報を扱う場合は素直に外注したほうがよいと思います。
情報が流出してしまった場合あなたは責任が取れますか?そのシステムを作ってと言った上司は責任がとれますか?充分な対策をしたうえでの流出ならともかく、無知が原因で流出した場合に影響を受けた人々は納得してくれますか?
外注するにあたってはコストが問題になるかとは思います。
コストに見合わないと判断したらそれまでで、システム化するのは諦めましょう。
上に挙げたセキュリティ対策だけすれば安心ですか。
セキュリティに安心はないです。
コストとリスクを天秤にかけて妥協点を設定するだけです。
また、このような技術レベルで、WEBサイトを作る場合、セキュリティを気にせず運用する方法が他にありますか。
ないです。
上で挙げているイントラネットとIP制限付きクラウド基盤もそれなりの安全を担保するだけで完全に安全とは言えません。
あなたの会社の誰かのPCがウィルスにやられれば、攻撃者がアクセスできる状態になってしまい、安全ではなくなります。
ありとあらゆる企業がものすごい膨大なコストをかけてセキュリティ向上を図っています。そんな中でコストをかけず、セキュリティを気にしなくていい、なんていう運用方法があれば世界中が飛びつきます。それだけで会社を興して大金持ちになれます。
そんな銀の弾丸の話をしているのに、銀の弾丸であることにすら気づいていない時点で開発運用は外注したほうがいいなと感じてしまいます。
安全か安全でないかという二極には分けられません。 ユースケースに対して充分か充分でないかで評価する必要があります。
極論するとサーバを極小の隕石が貫いて誤動作を引き起こして情報が洩れる可能性もゼロではありません。 社内にスパイがいたら? 押し入って物理的に記憶装置を強奪したら?
しかしそういう事故や攻撃に備えるコストが情報漏洩した後の対処コストより大きいなら情報漏洩させたほうがマシです。 セキュリティを追求しようとしたら際限がなく、情報の価値に釣り合う程度に備えるのが合理的判断です。
つまり唯一無二の基準はないのです。 経営的判断も含めた総合的なものなので外部からは判断できません。 会社でやるなら会社として策定したガイドラインがないかをまずは確認してみましょう。 作ったものは会社の基準に沿ってレビューを受けましょう。
まず今の会社のネットワーク管理がどのようになっているのかを把握するのが最優先です。
それによってどのような対策が必要なのか変わってくるというのもありますが、何か起きた時に原因が自分のシステムなのか、自分のシステムでは対処できない会社のネットワーク側の問題なのかという責任範囲を明確にするのが大切です。
次に外部または社内からの不正なアクセスがあった場合、どのような不都合があるのかをリストアップします。
すべてを網羅するのはまず無理だとしても、どのような問題が考えられるか、それによる危険の深刻さを把握することで対策のために費やせるコストや労力は変わってきます。
具体的にどのような対策をすればいいのか考えるのはその後です。
これらは自分一人で検討するのではなく、ネットワークを管理している人といっしょに考えて、情報や結論を共有しましょう。
そうすることで見落としを減らせることに加え、自分の手に余る責任を抱え込まないようにする意味でも大切です。
何か穴があった場合でも「管理者はこれでいいと言ってた」というカードがあると周囲の人からの印象はかなり違いますから。
「会社の社内システム」というワードを抜きにして、一般的に個人情報を扱うWebサイトを立ち上げるのであれば、挙げて頂いている要件だけでも不十分で大変危険です。
個人情報を取り扱わないにしても、「外部のサービスを使わず自前でサーバーを用意して」サイトを立ち上げるのであれば、踏み台にされるなどの危険が伴います。
ご参考までに以下をご覧ください。(以下の掲載記事の通りにすれば万全、というわけではありません)
https://zenn.dev/smartvain/articles/ai-attacked-my-code-security-mostly-placebo
IPAにWebサイトを作る時の注意のようなものがあります。
https://www.ipa.go.jp/security/vuln/websecurity/index.html
あと、個人的には、今はもうWebのことはみんな知ってるし、いたずら的なこともありうるし、偶然からの事故も起こりやすいしで、個人で使う以外はセキュリティを踏まえた方が良いように思います。
