mmjテスターいろいろ~セキュリティテスト編~
2018年06月06日
こんにちは。QAエンジニアの本郷です。
mmjでは、テスターが実施するテストケースの中に「セキュリティテスト」という項目があります。
みなさんは「セキュリティテスト」あるいは「セキュリティリスク」と聞いてどんな内容を思い浮かべますか?
私は前職ではmmjとは毛色の違う、基幹系システムの開発に携わっていたのですが
これからご紹介するようなセキュリティリスクという観点で、開発者自身がテストを実施する機会はありませんでした。
なので、mmjに入社して「セキュリティテストやってください」と言われたときは、テストを行う側の立場として、改めて網羅的に調べなおしました。
最近のセキュリティリスク
下記は、OWASPが発表したセキュリティリスクTOP10(2017年版)です。
脅威のレベルや蔓延度、ビジネスへのインパクトなどを元にランキング化されています。
2013年と2017年の間に順位が入れ替わったり新しいリスクが現れたりする中で、インジェクションが1位をキープしているのが分かります。
インジェクションってなに?
インジェクション(injection)とは、注入するという意味です。
不正なコマンドを組み込んだ入力データをプログラムに送り込み、意図しない命令を実行したり、権限のない情報へアクセスする手口のことを言います。
よく耳にする「SQLインジェクション」もその一つです。
脆弱性を持つサイトでは、例えばログイン画面の入力フォームに不正な条件式を入力することで、パスワードなしでログインできてしまったりします。
システムがこういった攻撃に耐えうるかどうかチェックするのもセキュリティテストの一環です。
全く何の対策もしていない企業はないと思うのですが、SQLインジェクションをはじめ、セキュリティ攻撃による情報漏洩事故は後を絶ちません。(参考ニュース一覧)
攻撃側が脆弱性スキャンなどを逆利用して、新たな標的を見つけることもあります。穴を見つけて塞ぐか、侵入するかの違いです。優秀な元ハッカーみたいな人がテスターになったらすごそうですね。
みんなで取り組んでいます
今回は一例としてインジェクションを取り上げましたが、ほかにも色々なセキュリティリスクに対してテストを実施しています。今後も予想できないところから新たなリスクが発生していく可能性がありますので、常に新しい情報をキャッチして変化していく必要があります。
mmjではこうした課題にも、エンジニア・テスターの垣根を越えてみんなで取り組んでいます。
一緒にやってみたいなと思われたエンジニアさん、ぜひコチラからお問い合わせください!
関連記事を見る
この記事を書いた人
2018年06月06日
記事のカテゴリ:Webシステム開発
STAFF募集
求人採用のお問い合わせ、ご応募はX(旧Twitter)とFacebookでも随時受付中です。
