ockeghem(徳丸浩)の日記

■「体系的に学ぶ 安全なWebアプリケーションの作り方」の在庫状況と今後の見通し

　拙著「体系的に学ぶ 安全なWebアプリケーションの作り方*1」はおかげさまで多くの読者の支持をいただき、まことにありがとうございます。その結果として、本書はAmazonをはじめとするネット書店にてお求めにくい状況が生じております。AmazonマーケットプレイスやYahoo!オークション等では、一部においてプレミア価格で販売されているようです。未来の読者の皆様に不利益が生じるといけませんので、在庫状況と今後の見通しについて報告致します。

在庫の状況について

　3月1日の発売開始以降本書は、Amazonでは常にお求めにくい状況が続いており、3月12以降は在庫なし（「出品者からお求めいただけます。」という表記）になっております。実は、3月8日には出版元の在庫がなくなっており、即日増刷が決定されています。

　Amazonだけでなく、多くのネット書店にて在庫がない状況ですが、以下のネット書店には在庫があるようです。

• 丸善&ジュンク堂
• 紀伊國屋書店BookWeb
• オンライン書店ビーケーワン

　また、丸善&ジュンク堂のページを見ていただくと分かりますが、丸善及びジュンク堂の店舗の多くには在庫があります。また、紀伊國屋書店など大きな書店チェーンにも在庫はあるそうです。したがいまして、現時点でプレミア価格の商品を購入する必要はまったくないと考えます。

増刷のスケジュールについて

　3月8日時点で増刷が決定されましたので、急ぎ修正内容を整理した上で増刷に入るはずでした。しかしながら、3月11日に発生した東北地方太平洋沖地震にて印刷業界も打撃を受けましたので、増刷のスケジュールがかなり遅れる見込みです。具体的には、紙屋さんの倉庫が被害にあったため、用紙の手配がつかないのだそうです。

　従いまして、Amazon等現在在庫切れを起こしているネット書店に在庫がまわるのは、早くて3月末、おそらくは4月初旬以降になってしまうのではないかと予想します。

当面のお願い

　前述のように、市中書店にはまだ在庫があり、かつ物流ネットワークも乱れていますので、在庫のある書店にて本書を購入いただくのが確実です。近所の書店に在庫がない場合は先に紹介したネット書店にて購入されるとよいかと思います。

　以上、当面は品薄（というか在庫の偏在）が続きご迷惑をおかけしますが、上記のような状況ですのでご理解いただければと思います。みなさまのご愛読に重ねてお礼申し上げます。ありがとうございました。

• 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートページ

■「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です

去年の5月末に「本を書く」という宣言をしてから8ヶ月以上掛かってしまいましたが、ようやく体系的に学ぶ 安全なWebアプリケーションの作り方が脱稿し、3月1日に発売される運びとなりました。

現時点で一番詳しい本の目次は、出版元のオフィシャルページにありますが、このブログでもおいおい詳しい内容を紹介したいと思います。また別途サポートページを立ち上げる予定です。

本書の目次は以下の通りです。

1章 Webアプリケーションの脆弱性とは

2章 実習環境のセットアップ

3章 Webセキュリティの基礎 〜HTTP、セッション管理、同一生成元ポリシー

4章 Webアプリケーションの機能別に見るセキュリティバグ

5章 代表的なセキュリティ機能

6章 文字コードとセキュリティ

7章 携帯電話向けWebアプリケーションの脆弱性対策

8章 Webサイトの安全性を高めるために

9章 安全なWebアプリケーションのための開発マネジメント

元々「入門的な内容」を書くことになっていたのですが、書き上がったものを振り返ると、開発者視点で基礎から実践までをできるだけ丁寧に説明したつもりですが、必ずしも易しい内容とは言えないように思います。

この性格は、本書での専門用語の使い方に表れていると思います。ネットなどで「入門的な本なのに専門用語だらけで分かりにくい」という批判を目にすることがあります。これはもっともな意見ですが、しかしセキュリティの説明を専門用語を使わないで説明することも難しいと考えました。そこで、セキュリティの専門家のみが使う用語はできるだけ避け、開発者が知っておくべき用語は遠慮なく使うという方針を採用することにしました。その結果、例えば以下の用語は頻繁に登場することになりました。

• 文字参照
• リテラル
• 同一生成元ポリシー

　最後の同一生成元ポリシーについては、本書では12ページを割いて説明しています。実は、当初目次案では、同一生成元ポリシーを説明する予定はありませんでした。しかし、XSSやCSRFの初稿を読んだレビュアー諸氏から、これら攻撃が通常のアクセスと違う理由がわかりにくいという指摘を受け、検討した結果、同一生成元ポリシーの説明からこれらの脆弱性の説明を導く現在の姿になりました。

　このように、レビュアーの皆様には、字句の間違い指摘というレベルを超えて、非常に本質的な「この脆弱性のなりたちは何か」という議論に及ぶこともあり、私自身非常に勉強になりました。深くお礼申し上げるとともに、ここにレビュアーのお名前・ハンドルを公表させていただきます。以下の表記は、公表にあたっての確認をとった形です（50音順、敬称略）。

大崎雅幸、太田良典、かいと（kaito834）、加藤泰文、小邨孝明、坂井隆二、id:s-yo-ko、高木正弘*1、竹迫良範、東内裕二、塙与志夫、日野洋一郎、山崎圭吾、山下太郎、Masahiro Yamada（masa141421356）、山本陽平

みなさまネット上でブログなどを運用されておられますが、ブログURL等の公表の許可まではいただいておりません（拒否されたというわけでもありませんが）ので、氏名もしくはハンドルの公表のみとさせていただきます。

また、はせがわようすけ氏には草稿の一部を読んでいただき、的確なアドバイスをいただきました。さらには、ブログやtwitterのコメントなどの形で非常に多くの方々と議論させていただき、その結果が本書に反映させていただいています。本当にありがとうございました。

（続く）

■[event]KCCSの「クラウド利用者必見！新春 情報セキュリティソリューションセミナー」で講演します

KCCSの情報セキュリティのセミナーでしゃべることになりました。テーマはクラウド利用のセキュリティについてです。

クラウドのセキュリティというと、文字通り雲をつかむような話になりがちですが、できるだけ明確なお話ができるように準備したいと思います。

# たとえば、クラウドに対する脆弱性診断ってできるの? みたいな疑問にお答えします

日時：2011年1月28日（金曜日） 14時30分〜17時20分
場所：KCCS東京支社（東京都港区）最寄り駅は泉岳寺
費用：無料

プログラム詳細、お申し込みはこちら https://www.kccs.co.jp/news/events/110128.html

■[wasbook]初稿を完成しレビュアーさんに送付しました

本を書いています。昨日ようやく全ての章の初稿を書き上げ、レビューアの皆様に最後の初稿を送付しています。現在は、レビューの結果を反映した第2稿に着手しています。最初の方に書いた章・節は、かなり手直しが必要で、まだ時間が掛かりそうです。

というわけで、当初計画では、今頃は書店に並んでなければならないのですが、今は、今期中になんとか出さないと、というところです。

当初は、こういうことを書いていたわけですが、

入門的な内容になる予定ですので、私のブログの読者が期待するような、マニアックな内容にはならないと思います

http://d.hatena.ne.jp/ockeghem/20100528/p1

できあがった初稿を見るに、「入門的な内容」というよりは、むしろ「基礎的な内容」をみっちり書いたという感じかなと、思っております。入門的と基礎的のニュアンスの違いは、まぁ本が出てからのお楽しみということで。

とはいえ、初心者の方が楽しめるように、できるだけ手を動かせるようにしておりますので、ご期待を。

■続パスワードの定期変更は神話なのか

2008年2月に パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専門家にも多くなっているような印象を受けている。

そのよう状況の中、以下の記事を読んだ。

辞書攻撃がうまくいかない場合、クラッカーは総攻撃（ブルートフォース攻撃とも言います）を仕掛けます。【中略】仮に1秒間に1000万回の計算ができるとすれば、パスワードのクラックに要する時間は1年にもなりません。どんなに強固なパスワードであっても、1年ももたないということになります。だからこそ、3カ月に1回とか半年に1回はパスワードを変更する必要があるのです。（2ページ目より引用）

http://www.itmedia.co.jp/enterprise/articles/1012/07/news010.html

面白い。1年間でパスワードが破られるという条件（1年で全てのパスワードのパターンを試行できる）下で、パスワードを半年に１度、あるいは3ヶ月に１度変更すると、パスワードはどの程度「破られにくく」なるのか計算で求めてみよう。

まず、半年に１回変更するケース。半年では全てのパスワードパターンの半分を試しているわけだから、最初の半年でパスワードが破られる確率は0.5、破られない確率も0.5。一年を通じてパスワードが破られない確率は、0.5 * 0.5 = 0.25。すなわち、一年間のうちにパスワードが破られる確率は 0.75 となる。

3ヶ月に１度ならどうか。3ヶ月でパスワードが「破られない」確率は0.75だから、1年間パスワードが破られない確率は 0.75の4乗だ。

0.75 ^ 4 = 0.3164

すなわち、一年間でパスワードが破られない破られる確率は、1 - 0.3164 で約 0.68 となる。

つまり、パスワードを3ヶ月毎に変更しても、68%の確率で破られるのだ。これで「安全になる」と言えるのだろうか。

ついでに、究極の定期変更として、ワンタイムパスワードだったらどうか。ものすごく安全性は高まるのだろうか。

ワンタイムトークンなどては、よく6桁の数値がワンタイムパスワードとして表示される。このパターンで計算してみよう。6桁整数のワンタイムパスワードを100万回試すという想定だ。一回あたりの試行で「破られない」確率は、1 - 1/100万 = 0.999999、それが100万回破られない確率には、

0.999999 ^ 1000000 = 0.3679

すなわち、100万回の試行でパスワードが破られる確率は、約 0.63 となる。

どんなに頻繁にパスワードを変更しても、パスワード変更による効果というのはこの程度なのだ。簡単に言えば、100%の確率を60〜70%に減らす程度の効果しかない。こんなあやふやなものに認証を頼るわけにはいかない。

では、なにが悪かったかというと、「全てのパスワードを試行できる」という前提がおかしい。この条件で安全性を保つ方法はない。

どうすればよいか。その答えは二つ。

• パスワードの文字種・桁数を増やすことにより、パスワードのパターン総数を増やす
• アカウントロックを実装してパスワード試行を妨害する

どちらも、パスワードの定期変更に掛かるコストよりもずっと簡単で効果が明確だ。

パスワードの定期変更が必要という主張は、いったん疑った方がよいだろう。意味がある場合もあるが、それは特殊なケースだけだ。

PS

本を書いています。認証についても一生懸命書いています。出るのは来年になりそうで、もうしばらくお待ちください。