mmjテスターいろいろ~セキュリティテスト編~mmj blog

こんにちは。QAエンジニアの本郷です。

mmjでは、テスターが実施するテストケースの中に「セキュリティテスト」という項目があります。
みなさんは「セキュリティテスト」あるいは「セキュリティリスク」と聞いてどんな内容を思い浮かべますか?

私は前職ではmmjとは毛色の違う、基幹系システムの開発に携わっていたのですが
これからご紹介するようなセキュリティリスクという観点で、開発者自身がテストを実施する機会はありませんでした。

なので、mmjに入社して「セキュリティテストやってください」と言われたときは、テストを行う側の立場として、改めて網羅的に調べなおしました。

最近のセキュリティリスク

下記は、OWASPが発表したセキュリティリスクTOP10(2017年版)です。
脅威のレベルや蔓延度、ビジネスへのインパクトなどを元にランキング化されています。
2013年と2017年の間に順位が入れ替わったり新しいリスクが現れたりする中で、インジェクションが1位をキープしているのが分かります。

参照:OWASP Top 10 – 2017

インジェクションってなに?

インジェクション(injection)とは、注入するという意味です。
不正なコマンドを組み込んだ入力データをプログラムに送り込み、意図しない命令を実行したり、権限のない情報へアクセスする手口のことを言います。

よく耳にする「SQLインジェクション」もその一つです。
脆弱性を持つサイトでは、例えばログイン画面の入力フォームに不正な条件式を入力することで、パスワードなしでログインできてしまったりします。
システムがこういった攻撃に耐えうるかどうかチェックするのもセキュリティテストの一環です。

全く何の対策もしていない企業はないと思うのですが、SQLインジェクションをはじめ、セキュリティ攻撃による情報漏洩事故は後を絶ちません。(参考ニュース一覧

攻撃側が脆弱性スキャンなどを逆利用して、新たな標的を見つけることもあります。穴を見つけて塞ぐか、侵入するかの違いです。優秀な元ハッカーみたいな人がテスターになったらすごそうですね。

みんなで取り組んでいます

今回は一例としてインジェクションを取り上げましたが、ほかにも色々なセキュリティリスクに対してテストを実施しています。今後も予想できないところから新たなリスクが発生していく可能性がありますので、常に新しい情報をキャッチして変化していく必要があります。

mmjではこうした課題にも、エンジニア・テスターの垣根を越えてみんなで取り組んでいます。
一緒にやってみたいなと思われたエンジニアさん、ぜひコチラからお問い合わせください!

QAエンジニア 本郷 |

« »
このページのトップへ