第10回
Visual Studio 2005の
セキュリティ
NECラーニング
山崎 明子
コード分析でセキュリティ問題を
未然に防ぐ



.NETのコード分析
ASP.NET Webアプリケーションのコード分析
C/C++（ネイティブ）のコード分析
コード分析：SQL インジェクション
SQLインジェクションをチェック
アプリケーションの検証
ClickOnceセキュリティ

ClickOnceとは


アプリケーションの配布を容易にする技術
アプリケーションの権限は何に基づく？

配置される場所





ローカル？
イントラネット？
インターネット？
署名
何ができるかが決まる


ファイルへのアクセス
分離ストレージへのアクセス
ClickOnceのセキュリティ設定
ゾーン内デバッグ

開発中はフルレベルの権限


→ テストにならない
実行時と同じレベルの権限


実行時にどのような権限が必要か？を指定
→ 適切なテスト
テストツール

単体テスト


通常の実行
例外的な実行


攻撃されやすいポイントの検出
ストレス（負荷）テスト

DOS攻撃
まとめ

セキュリティは重要

ミッションクリティカルな大規模システム


小さなツール


社会的な影響大
小さなシステムが攻撃の踏み台にされることも・・・
Visual Studio 2005のセキュリティ関連ツールを
利用

安全なアプリケーション開発～テスト～導入
リファレンス

開発者のためのセキュリティサイト


MSDNデベロッパーセキュリティセンター
 http://www.microsoft.com/japan/msdn/security/
開発者向け セキュリティ オンライン セミナー
 http://www.microsoft.com/japan/msdn/security/seminars/
 アプリケーションセキュリティの基礎
 実践! セキュアなコード記述 Part 1
 実践! セキュアなコード記述 Part 2
 実践! .NET Framework を利用したアプリケーション セキュリ
ティの実装