『体系的に学ぶ安全なWebアプリケーションの作り方』を読んだ。タイトルから分かるとおり、本書のテーマは、Webアプリケーションのセキュリティ。前々から気にはなっていたけれど、サンプルコードとして使われているPHPは使う機会なさそうだしなぁ、と伸ばし伸ばしにしていたのをようやく。
ITシステムのセキュリティを題材にした小説『サイバーテロ漂流少女』を読んで、セキュリティへの興味が強くなってきたところだったので、熱が冷めないうちに一気読み。
サンプルを仮想マシンで動かして動作を確認した方が、間違いなく理解が深まるはずだけれど、読書の時間はもっぱら電車内。手を動かしてから続きを読もうなんて考えて途中で立ち止まったら、そのまま放り出してしまいそうだと思い、読まないよりは読んでおこうと割り切った。
読んでおいて良かったと思う。どんな脆弱性がどこにあって、そこを攻撃されるとどうなってしまうのか、そして、どう対策すればいいのか、が分かりやすくサンプルとともに具体的に書かれている。サンプルはPHPなんだけれど、脆弱性を作ってしまいがちなポイントは言語に依らない部分が多いから、対策は他言語へも応用できる。
『Webを支える技術 -HTTP、URI、HTML、そしてREST』を読んでいたのも幸いした。HTTPヘッダ・インジェクションなど、おかげで理解が容易になった部分も多い。
それから、開発(セキュア・プログラミング)だけでなく、運用要件やマネジメントについての言及もあったのが、嬉しい誤算だった。要件に盛り込まれなければ対策し切れないし、一人だけ頑張っても意味が無い。組織として実行しないと、セキュリティは維持できない。
ただ「第7章 携帯電話向けWebアプリケーションの脆弱性対策」だけは、クライアントがフィーチャフォンなので、スマートフォンだとどうなんだろうという疑問が残る。基本的にはフルブラウザと思えばいいのかな?
でも、それを覗けば長く使えそうな内容ばかりで、いい本だと思う。もっと早く読んでおけばよかった。