ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
　徳丸様。献本ありがとうございます。
　やっと感想を少し書きます。

http://www.amazon.co.jp/exec/obidos/ASIN/4797361190/showshotcorne-22/
体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と
対策の実践 [大型本]
徳丸 浩 (著
　ソフトバンク・クリエイティブにある紹介。
http://www.sbcr.jp/products/4797361193.html
体系的に学ぶ 安全なWebアプリケーションの作り方

　まず、ざっくり500ページもあって重い。
　中身は、いろんな攻撃手段と防御手段がみっちり書き込んであって、濃密。
　攻撃と防御、セキュリティの一般論から始まって、パスワードクラッキング、
シェルインジェクション、SQLインジェクションなどの注入系攻撃、
JavaScriptのクロスサイトスクリプティング(XSS)、クロスサイト・リクエス
トフォージェリ(CSRF)、認証やアカウント管理の方法などなど、いっぱい攻撃
手口と防御手段が丁寧に解説してある。
　これだけでも、こんなに集めてまとめたなと感心するが、さらにまだある。
　普通のセキュリティ関係の本ではまず見かけない、文字コードにまつわるセ
キュリティや携帯電話にまつわるセキュリティのことまで解説してある。
　サンプルコードも、実際に動かして試せるように、VMWare Playerまで入っ
たCD-ROMもついていて、至れり尽くせり。
　しかし、ぼくが、この本で、一番、感心したのは、それらではない。
　最後に開発マネジメント、開発プロセス自体を改善しないとセキュリティが
守られないことを章を割いて解説してある。
　開発チームに一人でもセキュリティ意識の低い人間がいると、そこからやら
れしまう。
　ソフトを開発する側だけではなく、発注する側、もっといえば単にソフトを
使う側でも、たとえば、経営者や経営陣がセキュリティ意識が低いと、簡単に
企業のデータを盗まれるし、業務が止まってしまう。ユーザであっても、一人
でもセキュリティ意識の低い人間がいると、そこからやられてしまうのだ。
　「セキュリティはプロセス」ということを学生にもよく言うのだが、セキュ
リティは、ファイアウォールを入れたからもう大丈夫、なんとかソフトを入れ
たからもう大丈夫というものではない。組織・チームのマネジメント、プロセ
ス、構造、意識を日々改善していくことが重要。
　世のセキュリティ技術の解説では、技術解説に終始して、マネジメントやプ
ロセスの重要性を強調していないものが大半だ。そのせいもあってか、マネジ
メントやプロセスの重要性がなかなか世間で認知されていないし、認識しても
実践されていないのが、現状だろう。
　ぼくが読んだ本で、その重要性を書いてあった記憶があるのは、
http://www.amazon.co.jp/exec/obidos/ASIN/4881359967/showshotcorne-22/
暗号の秘密とウソ [単行本]
Bruce Schneier (著), 山形 浩生 (編集), ブルース・シュナイアー (著)
くらいだ。
　その点で、本書「体系的に学ぶ 安全なWebアプリケーションの作り方」は、
目配りがよく利いている。「体系的に学ぶ」は伊達ではない。
　こういうすばらしい本が出た以上、今後はこれが防御の最低ラインになるだ
ろう。攻撃者はこの上を行く攻撃手法を開発するだろうから。

　ところで、恥ずかしながら、ぼくは、レインボーテーブル、レインボークラ
ックを知らなかった。
　ちょっと調べたら、Windows XPなどVista以前のWindowsの場合は、過去との
互換性のためにソルト(salt)を使わずに、ハッシュ値を計算するので、この攻
撃に弱いという。
　とっくの昔にこの攻撃をやるツールが出回っている。簡単なパスワードしか
設定していないと、１分程度でパスワードが破れるそうだ。

　さて、セキュリティで思い出したことがある。
　学生の頃に読んだのか、社会人になってまもなく読んだのか。Unixを開発し
た功績で、C言語を開発したデニス・リッチーとともにチューリング賞を受賞
したケン・トンプソンのチューリング賞受賞記念講演。調べたら、「信用を信
用することができるだろうか」というタイトルだった。
　これ、コンパイラを改造して、悪意のあるコードを生成する話。これをやら
れると、いくらソースコードをレビューしてもセキュリティホールは見つから
ない。
　この記念講演は、共立出版から出ていたコンピュータサイエンス誌「bit」
の1984年12月号に載っている。図書館にでも行けばあるかもしれない。
　1966年から1985年までの20年間の受賞記念講演22編を収録したものが、bit
創刊20周年記念出版で出ている。これにも収録されているはず。
http://www.amazon.co.jp/exec/obidos/ASIN/4320024877/showshotcorne-22/
ACMチューリング賞講演集 [単行本]
赤 摂也 (翻訳)
　図書館にでもあれば読んでみてください。

　もう１つは最近の話。セキュリティ関係の本は、ソフトウェアレベルでの解
説がほとんど。CPUは、正しく作られているという前提がある。しかし、チッ
プレベルでクラッキングするための回路を組み込むという話がある。
　それが載っているのは、
http://www.amazon.co.jp/exec/obidos/ASIN/B0041TA7EU/showshotcorne-22/
日経サイエンス 2010年 11月号 [雑誌] [雑誌]
　その記事の概要は、
http://www.nikkei-science.com/page/magazine/1011/201011_096.html
半導体チップに潜むハッカー
J. ビラセナー（カリフォルニア大学ロサンゼルス校）
にある。読むとすごいでしょ。そういう心配までしないといけない時代になっ
ているというのだ。
　ちなみに、この号は、茂木健一郎の対談の最終回。
　なんと、クマムシだった。＼(^O^)／
　ほんと、クマムシのこと、書こう。

関連：
http://iiyu.asablo.jp/blog/2011/03/23/5754564
徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/24/5755461
Re: 徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/19/5749034
マイクロソフト元社長の成毛が相変わらず軽いので、ツイッターで話題になっ
ていました。