【IT事業本部コラム】~セキュリティを意識したWEBアプリ開発について

みなさんこんにちは。IT事業本部アーキテクトの江原です。

先月に続いて行われたアーキテクト研修第2回について、今回はご紹介させていただきます!

今回「セキュリティを意識したWEBアプリ開発について」ということで、代表的なセキュリティ問題をテーマに、問題のある実装と正しく対策してある実装とをJavaを例に説明しました。

研修にあたっては、実際にセキュリティ的に問題のある画面を操作しながら説明したほうが伝わりやすいかなという思いから、研修に使えそうな脆弱性のあるサイトを探したのですが、最終的には自分で作ってしまおうということで自前で脆弱性のあるサイトを作りました。
サイトは開発現場でよくみかける組み合わせでJava、SpringMVC、MyBatis等の技術で作られています。

私自身一から構築するのは久しぶりだったので、なかなか楽しみながら作業できましたし、勉強にもなりました。

また、研修後も皆さんでサイトのソースコードを改良したりして、何かしらのJavaの学習に使えるかなという思いもありました。

現場でWebアプリの開発を行う際、フレームワークで用意している部品、プロジェクト自前で用意している部品を利用して実装している人が多いと思いますが、実装する際にセキュリティ対策を意識して実装している人は多くないと思います。

それはフレームワークやプロジェクト自前で用意されている部品にセキュリティ対策が実装されていて、その部品の利用者にはセキュリティ対策を意識させないよう、ビジネスロジックのみに専念して実装できるよう環境が整えられているからです。

中堅以上の開発者はそういった部品を利用するだけでなく、部品を作成し提供する立場で仕事する機会も多くなると思います。また、部品の作成だけでなく、フレームワークの選定、アプリ基盤部の作成等々、セキュリティの知識が今まで以上に求められる作業に携わる機会が増えてくると思います。

今回の研修がそういった開発者のセキュリティに対しての知識や意識を高めてくれるきっかけになってくれれば良いな、と思っています。

次回のアーキ研修では自動化について、というテーマで行われる予定です。
研修の内容にご興味のある方、そしてケアリッツでSEとして働いてみたい方、ぜひ一度採用ページをご覧ください。おまちしています!

Text by IT事業本部 アーキテクト 江原