ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。


　昨日までは、Webサーバー側からDBに接続するための、ユーザーID、パスワード保存するためにどんなセキュリティがあるのか検討し、そのセキュリティの問題点について考えてきました。そして、パスワードをPHPから定期的に更新することについては、リスクの軽減になるが、同ユーザーIDとパスワードの保存方法について細心の注意が必要だとChatGPTから指摘がありました。同4項目の指摘について、現在のPrototype EVEでの対応方法について考えてみました。❶〜❸までは見通しがたったのですが、❹のユーザーIDとパスワードのハードコーディングについて問題が解決できていないので、引き続き検討していきます。


[ユーザID、パスワードのハードコーディングの検討]
　では、ChatGPTはどのような保管方法が高いセキュリティで保護されるといっているのでしょうか？

　では、重要だといっていることについてChatGPTに再質問をしてみました。

最初の解答は、セキュリティのことは一切考えておらず、DBサーバーへのアクセスするためのユーザーIDとパスワードを格納しやすいファイルとして紹介してくれたようです。この場合、�@�Aは、DBサーバーへのアクセスするためのユーザーIDとパスワードを保管する方法としては不適切だと思ったのですが、「3)ファイルの場所」を見てはっとしました。当該ファイルをApacheのルートフォルダに設定する必要はないのです。もしかしたら、etcでもいいかもしれません。それを考えたら、別にPHPファイルで保管する必要はないようです。
　なんで、こんなこと今まで気づかなかったのでしょうか？これが、1人で開発する場合の限界です。ただ、今は、ChatGPTがいます。何かあればChatGPTに相談し、問題点を洗いだし、その問題を解決しています。

[あとがき]
　今日も時間となってしまったので、この辺までとさせていただきます。
　このような検討をしていると、いろいろな部分に配慮しないといけないことが分かります。
　「4)サーバーのログに記録されないように」とありますが、これについて、Microsoft社がやってしまったことがありました。それは、システム障害が発生したとき、公開鍵暗号方式の秘密鍵をログに書き込んでしまったのです。そして運悪く、そのログを中国人ハッカーに見られてしまったということがありました。そのあとは、ハッキングのし放題です。多分ですが、機密情報を窃取されたのでしょう？

　現在は、セキュリティは、必要不可欠なもので、リリースする前には、セキュリティチェックは必須です。ただ、Microsoft社のような大企業になると、システムも巨大で、かつ、それの全てを監査するのは難しいと思われます。結局は、問題が発覚してからの対処になるのでしょうか？どうしたら、いいのか引き続き考えていきたいと思います。

　では、また！