クラウドアプリケーション開発に必要なセキュリティ

2,157 views

Published on

クラウドアプリケーション開発において考慮しておかなくてはいけないセキュリティについて、一般の開発者向けに講演した内容になります。

Published in: Technology
  • Be the first to comment

クラウドアプリケーション開発に必要なセキュリティ

  1. 1. クラウドアプリケーション開発に必要なセキュリティ(公開用) ネットエージェント株式会社 杉浦 隆幸 2011/12/05 日本クラウドワーキンググループ この資料は当日話した内容から幾つかの要素を削除したバージョンです。
  2. 2. <ul><li>プラットフォームセキュリティ </li></ul><ul><ul><li>壊滅的な状況 半分も直されない </li></ul></ul><ul><li>ミドルウェアセキュリティ </li></ul><ul><ul><li>新しい技術に追いついていない </li></ul></ul><ul><li>フレームワークのセキュリティ </li></ul><ul><ul><li>フレームワーク別に強弱がある </li></ul></ul><ul><li>アプリケーションセキュリティ </li></ul><ul><ul><li>エンジニアの教育が必要 </li></ul></ul><ul><li>クラウドアプリケーションセキュリティ </li></ul><ul><ul><li>新しいリスクが発生している </li></ul></ul><ul><li>スマートフォンセキュリティ </li></ul><ul><ul><li>Android はアプリの管理が問題に </li></ul></ul>
  3. 3. ミドルウェアセキュリティ <ul><li>memcached の場合 </li></ul><ul><ul><li>SASL 認証機構があるけど使われていない </li></ul></ul><ul><ul><li>対応クライアントが少ない </li></ul></ul><ul><ul><li>クローズド環境で、 IP アドレス制限が MUST だけど、クラウド環境では難しい </li></ul></ul><ul><ul><li>memcached にアクセスできると、キャッシュされた データを全てダンプ可能 </li></ul></ul><ul><ul><li>OR マッパーを使っていると意図しないデータまでキャッシュされる </li></ul></ul>ログも残らない、ステルス攻撃
  4. 4. フレームワークのセキュリティ <ul><li>Catalyst Dancer Interchange Mason Maypole Mojolicious Reaction Adventure PHP Framework Agavi Agile Toolkit Alloy AppFlower AWS XMS CakePHP CodeIgniter DooPHP FuelPHP e107 Horde Jelix Kajona Kohana Lithium Modx Movicon Outglow Openbiz_Cubi PHPDevShell PopcornPHP Qcodo Rain Framework Sapphire Seagull Solar Symfony Yii Zend Framework Zeta Components Apache Tapestry Apache Wicket AppFuse Aranea Context Framework Eclipse RAP FormEngine Google Web Toolkit Hamlets IceFaces ItsNat JavaServer Faces JBoss Seam Jspx-bay JVx WebUI ManyDesigns Portofino OpenLaszlo OpenXava Oracle ADF Play! Richfaces RIFE Apache Shale Apache Sling SmartClient Spring Stripes ThinWire Vaadin Wavemaker WebObjects WebWork ZK ztemplates BlueBream CherryPy CubicWeb Django Flask Grok Nagare Plone Pyjamas Pylons Pyramid TurboGears web2py Webware Zope 2 Zope 3 Camping Ruby on Rails Ramaze Sinatra Merb Nitro Monkeybars PureMVC Framework for Ruby ColdBox Platform WireBox ColdFusion on Wheels ColdSpring Fusebox FW/1 Mach-II Model-Glue onTap ASP.NET MVC BFC Csla DotNetNuke MonoRail OpenRasta Project AIDA/Web Application Express CppCMS Tntnet Flex Grails Helma Kepler Lift Midgard Morfik Ocsigen OpenACS qooxdoo Seaside SproutCore Compojure Yesod Wavemaker Wt Zotonic </li></ul>
  5. 5. スマートフォンセキュリティ <ul><li>情報取り過ぎ問題 </li></ul>諸般の事情で話せなくなりました
  6. 6. 思ったよりできることが多かったと思いませんか? カレログ公式サイトより http://karelog.jp/  
  7. 7. クラウドアプリケーションセキュリティ <ul><li>OAuth はサードパーティにデータのアクセス権やサードパティーからユーザが使っているようにする権利を与える。 </li></ul><ul><li>情報取りすぎていませんか? </li></ul>
  8. 8. 何が行われているか? <ul><li>サービスプロバイダの API を利用して、訪問しているユーザの権限で利用する権限を、ユーザの許可(クリック)により、訪問しているサイト(コンシューマ)に与える。 </li></ul><ul><li>GMAIL :登録アドレス全部持っていく、メールの本文を持っていく </li></ul><ul><li>Google カレンダー:予定の出し入れ </li></ul><ul><li>Yahoo: ヤフオクの入札履歴とか </li></ul><ul><li>Twitter: フォロー・フォロワーリストの取得 </li></ul>
  9. 9. 同じ問題を起こさないために <ul><li>情報取り過ぎ問題 </li></ul><ul><li>不要な権限まで要求してみる。 </li></ul><ul><ul><li>多くのユーザーは個人情報を出すことに麻痺している。 </li></ul></ul><ul><li>やり過ぎない API アクセスが必要 </li></ul>
  10. 10. 連携データの XSS <ul><li>連携しているので、 OUTPUT するまえに安全にしてから出力が必要。 </li></ul><ul><li><iframe > </iframe>  </li></ul>
  11. 11. Consumer key の漏えい  <ul><li>たまに漏れている所がある。 </li></ul><ul><li>ローカルアプリケーションでは、  アプリケーションを解析することにより Consumer Key と場合によっては Consumer Secret を抜き出される </li></ul>

×