この連載では、Webシステムの要件定義や基本設計で押さえておきたいセキュリティについて解説してきました。前回まではWebアプリケーションのセキュリティが中心でしたが、最終回では一般的なインフラのセキュリティ対策、インフラやネットワークを狙った攻撃の種類、各種機器の設定・管理上の注意点を説明し、まとめとしてソフトウエア開発とセキュリティについて筆者の考えを述べます。

 システム開発の現場では、「アプリケーションの設計・開発」を担当するエンジニアと、「インフラやネットワークの設計・構築」を担当するエンジニアが分かれているところが多いと思います。しかし、プロジェクトのグレーゾーンを作らないためには、Webアプリケーションの設計・開発に携わるSEやPM(プロジェクトマネジャー)にも、インフラ担当のエンジニアや顧客と会話するうえで最低限の知識は必要です。

アプリケーションよりもインフラは攻撃されやすい

 一般的なWebシステムの構成を図1に示します。Webシステムのネットワークやサーバーなどのインフラには、以下のようなものがあります。

図1 一般的なWebシステムの構成とセキュリティ対策
図1 一般的なWebシステムの構成とセキュリティ対策
[画像のクリックで拡大表示]

●ルーターやスイッチなどのネットワーク機器
●ファイアウォールやIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)などのネットワークセキュリティ対策システム
●Webアプリケーションの動作に関連する、Webサーバー、アプリケーションサーバー、データベースサーバー
●DNSやメールなどのサービスを提供するためのサーバー
●システムを管理する管理用の端末(パソコン)