エスケープ処理
Escape Processing
えすけーぷしょり
HTMLやSQL、OSコマンドなどにおいて特別な意味を持つ文字(メタ文字)を無害な文字列に変換する処理。XSS対策では「<」「>」「&」「"」などをHTMLエンティティに変換し、SQLインジェクション対策ではシングルクォートなどをエスケープする。出力先のコンテキストに応じた適切なエスケープが重要。
情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > セキュアプログラミング
関連キーワードの用語
SC入力値検証(バリデーション)
外部から受け取るデータが期待される形式・範囲・長さであることを検証する処理。ホワイトリスト方式(許可する値のみ受け入れ)が推奨される。Webアプリケーションにおけるインジェクション系攻撃の根本的対策の一つであり、サーバ側での検証が必須となる。
SCContent Security Policy(CSP)
Webブラウザに対して、ページ内で読み込み可能なリソースの提供元を制限するHTTPレスポンスヘッダ。スクリプト、スタイルシート、画像などのリソース種別ごとに許可するオリジンを指定でき、XSS攻撃やデータインジェクション攻撃の影響を軽減する。
SCHSTS(HTTP Strict Transport Security)
WebサーバからブラウザにHTTPS接続を強制するHTTPレスポンスヘッダ。一度HSTSヘッダを受信したブラウザは、指定期間中は当該サイトへの接続を自動的にHTTPSに切り替え、中間者攻撃やSSLストリッピングを防止する。
SCリスクコントロール
リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策(暗号化、アクセス制御等)や運用的対策(手順の整備、教育等)を実施してリスクレベルを許容範囲内に抑える。
SCサイバー保険
サイバー攻撃や情報漏洩などのインシデントによって生じる損害を補償する保険。リスク共有(リスク移転)の一手法として、賠償責任、事故対応費用、逸失利益などをカバーする。
SCリバースプロキシ
クライアントからのリクエストを受け取り、背後のWebサーバに転送するプロキシサーバ。外部から内部サーバを隠蔽し、SSL/TLS終端、負荷分散、キャッシュ、アクセス制御などのセキュリティ機能を提供する。WAFと組み合わせて使用されることも多い。