North Detail / ノースディテール

BLOG ブログ

ブログ
CATEGORY
勉強会

第21回ライトニングトーク~セキュリティと 攻撃手法について③・ISTQBの紹介①・新書を読んでみよう~

現在ノースディテールでは月に2回のペースで社内ライトニングトークを開催しています。
1人持ち時間5分でテーマは自由です。
ぜひ 過去のライトニングトークのブログ もご覧ください!

本日の3つのコンテンツ

  1. セキュリティと攻撃手法について③クロスサイトスクリプティング
  2. ISTQBの紹介①テストの目的
  3. 「新書」を読んでみよう

セキュリティと攻撃手法について③クロスサイトスクリプティング

最初は近藤さんの「 セキュリティと攻撃手法について③クロスサイトスクリプティング」というテーマです。

ライトニングトークでお馴染みの「セキュリティと攻撃手法」シリーズ。
今回で第3弾です!
▼過去のライトニングトークの記事はこちらから
第1弾 SQLインジェクション
https://www.northdetail.co.jp/blog/1369/

第2弾 OSコマンドインジェクション
https://www.northdetail.co.jp/blog/1508/

クロスサイトスクリプティングとは攻撃対象のWebサイト(Webサーバー)の脆弱性があるWebアプリケーションに偽の画面を表示させて個人情報などを盗むというものです。
サイト訪問者が本物の画面と間違えて個人情報などを入力してしまうため、悪意のある第三者に個人情報が盗まれてしまうのですね…。怖いすぎます…。
このような事にならないためには以下の防御手段があるそうです。

1、サーバー側で入力制限をする
入力値が制限されていないため、攻撃用スクリプトをそのまま受け付けてしまうことが原因です。例えば数値のみ入力可能にするなどの入力制限を設けると良いでしょう。
ブラウザ側で入力制限行うと、攻撃者がブラウザのスクリプトを無効にした場合に入力制限が動作しなくなるので入力制限はサーバー側で行いましょう。

2、入力フォームにスクリプト文字列が入力されたら無害な文字列に置換する(サニタイズする)
HTMLタグやスクリプトが入力された場合に、内容をそのまま実行してしまうことが原因です。入力文字列に実行可能な文字列があれば、別の安全な文字列に置き換える処理を入れましょう。

サニタイズの代表例

  •   < → &lt;
  •   > → &gt;
  •   & → &amp;
  •   ” → &quot;
  •   ’ → #39

3、WAF(Web Application Firewall)を使用する
通信内容をチェック、ブロックする役割があるWAFを導入しましょう。
レンタルサーバーでもWAFが使用可能なサービスが増えているそうです。

とてもわかりやすく解説していただきました!自分でWebアプリケーションを作るときは十分に注意しなければならないですね!

ISTQBの紹介①テストの目的

続いても近藤さんによる「ISTQBの紹介①テストの目的」というテーマの発表です。

ISTQBとは国際ソフトウェアテスト資格認定委員会の略称で、日本国内ではJSTQBがISTQBに加盟して活動しています。
ISTQB : https://www.istqb.org/
JSTQB : http://jstqb.jp/index.html

以前木原さんもこの団体のお話をライトニングトークでされていましたね。
▼詳細はこちら
ISTQBテスト技術者資格制度 Foundation Level シラバス 日本語版 の輪読会やりませんか
https://www.northdetail.co.jp/blog/1301/

今回はシラバスの中の「1.4テストプロセス」のテストの目的を6つ教えていただきました。

  1. 要件~コードを評価する
  2. 要件を満たしているか検証する
  3. 完成度、妥当性を確認する
  4. テストで積上げた品質レベルの確証をとる
  5. 欠陥・故障を発見しリスクレベルを軽減する
  6. 品質レベル情報をステークホルダーに提供する

毎月2回(だいたい木曜日)に社内メンバーを対象にISTQBテスト技術者資格制度 Foundation Level シラバス 日本語版 の輪読会を開催しています。

ご興味がある方は木原さんまでご連絡お願いします!

「新書」を読んでみよう

最後も近藤さんによる『「新書」を読んでみよう』というテーマの発表です。

新書とは新書版(105mm x 173mm)の大きさで作られた本のことです。

「新書」というとなんとなく「新しく出た本」という意味なのかと思いそうですが、本の種類のことなんですね!ページ数が少ないので初心者向けに平易に書かれており、価格も安いものが多いため私もよく購入します。

今回の発表では新書ビギナーに向けて、おすすめの出版社や新書をご紹介くださいました!

近藤さんおすすめ出版社

  1. ちくま新書 https://www.chikumashobo.co.jp/search/result?k=401
    歴史、社会、哲学などが多い。簡単すぎず難しすぎないので入門書にいい。
  2. 岩波新書 https://www.iwanami.co.jp/sin/
    こちらも歴史、社会、哲学などが多いが、ちくま新書よりやや専門的で難しいものが多い。
  3. 中公新書 https://www.chuko.co.jp/shinsho/
    ちくま、岩波よりも幅が広め。専門的な内容でも読みやすい。

おすすめ新書

1、雲を愛する技術 出版社:光文社新書  著者:荒木健太郎

雲に関する基礎知識や様々な種類の雲を写真付きで紹介している本です。
著者の荒木さんは気象庁気象研究所の研究官だそうで、雲の知識や雲への愛が感じられます。写真が多いためイメージしやいのでとても読みやすい1冊です。

2、スキマの植物図鑑 出版社:中公新書  著者:塚谷裕一

コンクリートやアスファルトの隙間から生えている植物の図鑑で、カラー写真つきで植物を紹介されています。
春夏秋冬に分かれているので今見られる植物をこの本片手に探してみるのも面白そうです^^

3、数学を使わない数学の講義 出版社:WAC  著者:小室直樹

「大人になっても算数しか使わないでしょ?」という考えがひっくり変える本で、実はさまざまな場面で使われていた「数学的」な考えが紹介されています。数学が苦手な人にこそ読んでいただきたいですね!

4、人類5000年史 I・II・III 出版社:ちくま新書  著者:出口治明

紀元前3000年から西暦1500年までの世界史を三巻で紹介している本です。
教科書で名前だけ暗記した単語の意味や役割を深堀して理解することができる1冊です。

近藤さんのおすすめの本

新書の情報を得るためには?

近藤さんは下記のサイトから情報を得ているようです。

ほんのひきだし 「新書発売日一覧」

https://hon-hikidashi.jp/tag/shinsho_releasedata/

新書大賞

https://www.chuko.co.jp/special/shinsho_award/

ぜひ皆さんも新書を読んでみてください~!

あとがき 

2021年初のライトニングトークはなんと近藤さんが3つも発表してくださいました。インプット量もアウトプット量もすごいです…!
年末年始でインプットした事がある方はぜひ次回以降のライトニングトークで共有していただきたいと思います^^

次回は1月21日(木)の 14時30分からです!

是非ご参加ください^^

まるのみさき
WRITER:まるのみさき
北海道の最北端、礼文島生まれ利尻町育ちの29歳。
大学卒業後、北海道の観光情報誌の広告営業として5年間勤務したのち、ノースディテールに入社しました。
現在はWebディレクターとして自治体サイトの制作をしています。
主な記事 一覧へ

一覧へ

IS 501383 / ISO 27001