Jump to content 日本-日本語

ソフトウェア  >  セキュリティ

SQLインジェクション対策特集

- 多発するSQLインジェクションによる被害  日本ヒューレット・パッカードが薦める対策方法 -

IceWall MCRP

IceWall MCRPとは
セキュアリバースプロキシとは
IceWall MCRPとは
基本機能
製品諸元
基本構成図
動作環境
参考価格
関連情報
サポート
導入サービス
技術レポート
IceWallニュース
デモセンター
認証技術開発センター・
  認証コンサルティング
関連製品
IceWall ソフトウェア
IceWall SSO
IceWall MFA
IceWall Identity Manager
IceWall Federation
IceWall Remote Configuration Manager
IceWall QFS
お問い合わせ・資料請求
お問い合わせ
お見積もり・資料請求
パートナー一覧
IceWallサイトマップ
日本ヒューレット・パッカード セキュリティページ
日本ヒューレット・パッカード メールニュース
サイトマップ
Webからのお問い合わせ、資料ダウンロードはこちら
※IceWall SSO は株式会社SCCとの共同開発製品です。
コンテンツに進む
≫  SQLインジェクションとは?
≫  日本ヒューレット・パッカードが薦めるSQLインジェクション対策
本ページについてのお問い合わせはこちら

SQLインジェクションとは?

SQLインジェクションとは、開発者が意図していないSQL文をWebアプリケーションの中へ送り込む攻撃を指します。もし、Webアプリケーションが、システム内で利用されるSQL文と送り込まれたSQL文を連結して動的な処理を行うようになっている場合、このSQL文は実行されてしまいます。そのため、悪意のあるユーザが、このSQLインジェクション攻撃を行い、本来公開されていないシステム内の情報を窃取したり、改ざんしたり、という事件が多発しております。これらの事件において、企業や団体にとって致命的な損害を招く可能性が高いため、迅速で、十分な対策が必要とされています。
必要な対策としては、Webアプリケーションの検査や確認を定期的に行うこと、Webアプリケーションのシステムやコードの不備となる脆弱性を修正すること、Webアプリケーションの脆弱性を前段でブロックすること、があげられます。

■Webアプリケーションで用意されているSQL文
SELECT userName from auth_table where userID=‘ユーザ入力文字列';
※userIDがユーザ入力の文字列とマッチした場合、該当行のuserNameを返すSQL文

SQLインジェクションとは?図1


■Webアプリケーションで実行されるSQL文
SELECT userName from auth_table where userID=‘001’ OR ‘1‘=‘1';
※全ユーザに対して’1’=‘1’が真になってしまい、全ユーザのuserNameが出力

SQLインジェクションとは?図2

日本ヒューレット・パッカードが薦めるSQLインジェクション対策

  1.定期的なセキュリティチェックによる防御 ―HP WebInspect software ―

HP WebInspect Softwareは、Webアプリケーションの脆弱性検査を自動化できるツールです。従来、複数のツールを煩雑に多用したり、特殊なスキルを必要としていた脆弱性検査を、自動で実行することにより、SQLインジェクション等のWebアプリケーションの脆弱性を容易に検知することができます。
この際に、Webアプリケーションのシステムやコードの修正ガイドラインを提示したり、レポートを作成できるため、開発や運用の業務にとって非常に利便性の高い製品となっています。

≫ HP WebInspect Softwareに関する詳細はこちら


2.不正な文字列のフィルタリングによる防御 ―HP IceWall MCRP 2.1 ―

HP IceWall MCRPは、日本国内No.1のシングルサインオン製品であるHP IceWall SSOの製品開発ノウハウを活かし、 HTTP攻撃への対策やリバースプロキシ機能に特化して開発された “セキュアリバースプロキシ”製品で、Webアプリケーションの不備を前段でブロックすることができます。
HP IceWall MCRP 2.1 SP1のSQLインジェクション対応機能を使用することで、外部の悪意を持った攻撃者(ハッカー)が、リレーショナルデータベースを不正に操作することを目的にWebアプリケーションに送ってくる可能性のある有害な文字列パターンを検出し、情報の漏えいや改ざんを未然に防止することが可能です。
●HP IceWall MCRP導入前

悪意のある攻撃者がSQLインジェクション対策未対応のWebアプリケーションに、SQL文を含んだ不正な文字列を送る事により、顧客データ等の機密情報を不正に取得する可能性があります。
HP IceWall MCRP導入前
●HP IceWall MCRP導入後

セキュアリバースプロキシのSQLインジェクション対応機能により、SQL文を含んだ不正なリクエストを検出し、セッションを切断する事が可能です。
HP IceWall MCRP導入後
  このようにHP IceWall MCRPをWebアプリケーションの前段に配置して、不正な文字列をフィルタリングするよう設定すると、アプリケーションの改修をすることなく、またパフォーマンスの劣化も引き起こすことなく、SQLインジェクション攻撃への防御を行う事ができます。

≫ HP IceWall MCRPに関する詳細はこちら


3.日本ヒューレット・パッカードが薦めるSQLインジェクション対策

SQLインジェクションを含めた、Webアプリケーションの脆弱性に対する攻撃手法は日々進化してきています。
Webアプリケーションの脆弱性を前段でブロックし、且つ定期的にシステムのセキュリティのチェックや対策の見直しを行うことを並行して実施することが重要です。

Webアプリケーション脆弱性対策 対応例
@HP IceWall MCRPで多層防御しアタックを即効ブロック
AHP WebInspect softwareで総合的な検査を定期的に実施し、システムやソースコードの脆弱性へ修正ガイドラインを提供
日本ヒューレット・パッカードが薦めるSQLインジェクション対策
≫  HP WebInspect Softwareに関する詳細はこちら
≫  本ページについてのお問い合わせはこちら
このページのトップへ
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項