セキュリティ3

【勉強会】自分の身は自分で守る!「クイズで学ぶセキュリティ」に参加@サポーターズ勉強会

たかふみ | Webエンジニア

どうも、たかふみです。

『セキュリティ』
大切なのは分かっているけど、一体何をすれば良いの!?となってしまうものの代表だと思います。正直僕も「ウイルスバスターを入れておけば安心じゃないの...?」という感じです。

「いやでも、Webエンジニアやるなら自分の作るもののセキュリティはしっかりしたいし、きちんと勉強したい!」ということで、面白そうな勉強会に参加をしてきました。

「クイズで学ぶセキュリティ」

本勉強会のテーマは『セキュリティ』です。
エンジニアの教養である『セキュリティ』をクイズを交えながら勉強しよう!というのが本勉強会のテーマです。

講師は、大学生時代にセキュリティを学んでおり、現在SIerの調査研究部門に所属している「木幡 周平(こばた しゅうへい)」さんです。今回の勉強会の事をブログに書きたいと申し出たところ、快くOKを出してくださいました。ありがとうございます!

では、早速クイズです。

Q.1999年初頭に流行した「Happy99」というコンピュータウイルス。このウイルスの特徴とは次のうちどれでしょうか。
1.虹がかかる
2.花火が打ちあがる
3.紅葉が舞う
4.雪が降る

僕はHappyという言葉から「1.虹がかかる」を選択しました。正解は後程。

このように、過去に流行したコンピューターウイルスや、攻撃手法である"SQLインジェクション"や"DoS攻撃"についてクイズを交えながら楽しく学びました。

勉強会で学んだ用語について下記にまとめております。もし間違いがありましたら、教えていただけると嬉しいです。

◼️攻撃の手法

XSS(クロスサイトスクリプティング)
掲示板などの動的webページ(ユーザーの入力がページに反映されるwebページ)にJavaSprictなどのスクリプト言語を使って罠を仕掛けること。被害はサービスを利用するユーザーに及ぶ。
SQLインジェクション
ユーザーIDやパスワードを入力するフォーム等にSQL文を含む文字列を入力すると、サーバーがデータベース操作の命令文だと勘違いをしてしまう。このことを利用して、データを不正に操作すること。
DoS攻撃(ドスこうげき)
サーバーに過剰なリクエストを送ること等により、サービスを妨害すること。

■CVEとCVSS

CVE
世界中で見つかった脆弱性(ソフトウェアの弱いところ)を識別するための仕組み
CVSS
CVEの危険度を測る指標

■まとめ

・攻撃の手法は年々複雑になっている。
・アップデートはこまめに行いましょう。
・賠償沙汰になってからでは遅いので知識をつけましょう。

「何を使って知識をつければいいのよ?」という声が聞こえてきそうです。それもバッチリ木幡さんオススメの資料を教えてくださいました。

■資料

情報セキュリティ10大脅威
IPA(情報処理推進機構)が選定したセキュリティに関する脅威がまとめられたもの

OWASP TOP10
特にwebアプリの脆弱性についてまとめられたドキュメント

OWASP webgoat
実際に手を動かしながら脆弱性について学べるwebアプリ

Sequrity NEXT
セキュリティに関するニュースが配信されているサイト

気になったのは、"OWASP webgoat"。実際にSQLインジェクションなどの攻撃をしてセキュリティの学習ができるアプリです。試してみたいですね。

勉強会の後には交流会もありました。
和やかな雰囲気なので、初対面であっても気楽に話すことができました。参加者はエンジニアですが、webアプリの開発をしていたり組み込み系ソフトの開発をしていたりと業務内容は様々。普段聞けないような話を聞くことができて楽しかったです。

勉強会をきっかけに、セキュリティをより学ぶ意欲が沸いたので参加して良かったです。何より困ったときに相談できる方と知り合うことができたのも大きかったです。社外の人とつながりを持つには良い場所ですね。

今回はセキュリティでしたが、他にも色々なテーマで開催しているようです。サポーターズのHPに載っているので興味がある方はぜひ!それでは!

サポーターズCoLab
若手エンジニアが技術でつながる仲間探しサービス
https://supporterzcolab.com

おっと、忘れるところでした。クイズの答えは...。

A.答え
2.花火が打ち上げる

答えは「2.花火」が打ち上げるでした!
勉強会で実演してくださったのですが、全然Happyな感じの花火ではありませんでした...。みなさんもウイルスにはお気をつけください!それでは!

参考サイト
クロスサイトスクリプティングとは?仕組みと事例から考える対策
クロスサイトスクリプティング(XSS)
SQLインジェクションとは?Webサイトのセキュリティ対策を学ぼう
SQLインジェクション攻撃への対策|脆弱性を悪用する仕組みと具体例
DoS攻撃・DDoS攻撃とは?攻撃の目的や種類、事例、対策方法を解説

この記事が参加している募集

イベントレポ

25,442件

読んでくださりありがとうございます。 これからもnoteで発信していくのでよろしくお願いします!