用語集

SQLインジェクション


 

SQLインジェクションとは

データベースソフトやそれを使ったシステムにデータを挿入したり、編集・削除などを行えたり出来るSQLというデータベース言語を使って、システムの脆弱性を利用して不正なSQL文を実行させる攻撃手法の事です。

企業では、Webサイトやオンラインサービスを展開する上でデータベースを活用して、Webアプリケーションを通してデータの取得や登録を行う仕組みを構築している事が多々あります。しかし、このシステムを構築する際に、不正なSQL文を実行出来ない環境にしておかなければ、SQLインジェクションによる攻撃を受ける原因になります。

SQLインジェクションを防ぐ為には、クロスサイトスクリプティングと同様に入力値に対してエスケープ処理を施すのが良いのですが、データベースソフトによっては単一引用符以外の囲み文字を使って、文字列リテラルを示す事が出来る物がありますので、単純にエスケープ処理が出来るわけではありません。

そこで、バインド機構が搭載されているWebフレームワークやWebライブラリを使う事で、セキュリティホールを塞ぐ事ができ、SQLインジェクションによる攻撃を防ぐ事が可能になります。企業が安全にオンラインサービスを運営するには、SQL文による不正なデータの挿入が行われないように対策をしていく事が重要であり、バインド機構を導入する事で、オンラインサービスを安心して使える環境にしていく事が出来ます。

SQLインジェクションのお役立ち情報

企業が運営するサイトやオンラインサービスで、安全性をアピールする手段としてはPマークの取得があります。Pマークの取得をするには指定審査機関へ申請を行い、審査を受けて合格する事です。

Pマークは企業が個人情報の取り扱いをアピールするのに使えますので、企業の顧客がサービスを安心して使ってもらえる環境作りに使えるでしょう。SQLインジェクションの対策を行う事は、企業が提供するサービスの安全性を高め、顧客からの信頼を得られます。

SQLインジェクション対策をする際には、バインド機構を採用したWebフレームワークやライブラリを活用していく事が有効ですので、オンラインサービスを提供する企業はSQLインジェクションによる攻撃を防ぐ為にも、これらのライブラリを使っていく事が大切です。

企業は、オンラインサービスで取得した顧客の個人情報を厳重に管理しておく事が求められており、この管理が十分であれば、消費者からの信頼が高まります。
SQLインジェクションの対策は、クロスサイトスクリプティングと比較して手間が掛かるものですが、対策を講じておかなければ、サイバー攻撃の攻撃対象になりますので、企業は入念に様々なケースに対して、セキュリティ対策を講じていく必要性があります。

SQLインジェクションに対してだけではなく、システムの脆弱な部分を発見して修正を施す事で、利用者は安心してシステムを活用出来る環境作りを行えるようになります。

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にDM発送代行、プライバシーマーク取得コンサルティング事業をしております。
プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

関連記事一覧

カテゴリー: 用語集