エンジニアの副業におすすめのサービス11選!メリットや戦略も解説
- 【PR】
- エージェント
- クラウドソーシング
2018年12月19日(水)、Workship MAGAZINEの運営会社である株式会社GIGにて、株式会社ディレクターズ様とのコラボイベント『デザイナー・ディレクター向け!これだけは知っておきたいフロントエンド / サーバーサイドの知識』が開催されました。
本イベントでは、フロントエンドやサーバーサイドの基礎知識を押さえておきたいデザイナーやディレクターにとって有意義な講演が行われました。今回はその内容を【前編(サーバーサイドの知識)】と【後編(フロントエンドの知識)】に分けてご紹介します。
後編はこちら▼
デザイナー・ディレクターに知っておいてほしいフロントエンドの知識と歴史【ディレクターズ×GIG コラボイベント後編】
Workship MAGAZINE
目次
最初の登壇者は、株式会社ディレクターズ・杉本さんです。
株式会社ディレクターズ インフラエンジニア兼ホスティング事業部 事業部長。
インフラエンジニアとして、クライアントの要望に応じて設計、環境・機器選定、仕入れ、価格決め、構築、運用保守までを一貫して行う。 また、2017年より事業部長としてホスティング事業部のエンジニアを統括し、運営方針の決定などにも関わる。
当日のスライドはこちら▼
昨今、何かとセキュリティに関する話題が多くなっています。
「セキュリティどうなってますか?」「脆弱性はどうなってますか?」といったユーザーからの声は多く、情報セキュリティポリシーの作成を求められることもよくあります。
「攻撃サイトとして報告されている」というアラートが出るサイトは、ウイルスをダウンロードさせられるページがあり、フィッシングサイトとして報告されているサイトです。これはサイト運営者がウイルスを設置したわけではなく、サイトに外部から不正侵入(クラック)され、悪質なファイルを置かれてしまったケースがほとんどです。
しかし、「クラックなんてそう頻繁にされるの?」とお思いの方もいらっしゃるでしょう。そこで杉本さんは、サーバーが普段どのような状況にあるのか、サーバーログの例を見せてくれました。
青字の数字は、サーバーへのアクセスのあった時刻を表しています。1秒単位で連続してアクセスされているのがわかります。これは外部から脆弱性を探す行為を受けている証拠です。
実際に脆弱性が発見されると、悪意のある人によってファイルを勝手に置かれてしまうことがあります。悪質なファイルを置かれてしまったサイトは、サイト内のファイル全ての信用性がなくなってしまうため、サイトを作り直すしかありません。
インターネットに公開するということは、常にクラッキングのリスクを負っているということなのです。
データベースやサーバーシステムには、ユーザーが直接アクセスできないようにしておくべきでしょう。管理者だけがサーバーにアクセスできるようにする必要があります。
外部のユーザーからのアクセスを制限する方法は以下のとおりです。
また、検証段階で公開設定にしてみたものがそのまま公開されてしまっていることもあります。権限設定は公開前にしっかり確認しましょう。
ユーザーにWebサイトを訪問してもらうためには、それをWeb上に公開しなければなりませんが、同時に攻撃に晒されることにもなります。そこで利用したいのがWebAplicationFirewall(WAF)です。WAFは、Webサーバーの前段に設置して通信を解析・検査し、攻撃と思われる通信を遮断してくれます。
しかし、WAFは導入コストがネックになるそうです。
代表的なWAFサービスには、『Scutum』や『SiteGuard』があります。攻撃のパターンが新しくなるのに対応して自動でアップデートしてくれます。
『AWS WAF』『CLOUD ARMOR』など、無料で使えるクラウドWAFも誕生していますが、攻撃パターンに対するアップデートを手動で行う必要があります。
攻撃パターンの自動更新をしてくれるオープンソースのWAFも生まれてきましたが、まだまだ情報が少ないです。サーバーのミドルウェアとの連携も必要になります。
『VADDY』や『SiteLock』といった、脆弱性診断を行ってくれるサービスがあります。
簡単で安価なものから高価で詳細な診断までしてくれるものまで、レベルはさまざま。
ちなみに私のおすすめの脆弱性診断サービスは『OWASP ZAP』です。
『OWASP ZAP』は、Mac/Windows/Linuxで無料で使える脆弱性診断サービスです。結果も.htmlファイルや.xmlファイルで出力できるので、顧客に見せる場合も簡単です。使い方のドキュメントも充実しているので、非エンジニアでも簡単に扱えます。
▲OWASP ZAPの結果表示例
ただし、脆弱性診断は擬似的にサーバーを攻撃する行為です。行う際には、以下の点に注意が必要です。
後編はこちら▼
デザイナー・ディレクターに知っておいてほしいフロントエンドの知識と歴史【ディレクターズ×GIG コラボイベント後編】
Workship MAGAZINE