マイクロサービスアーキテクチャにおけるDOM Based XSS攻撃に対するテストベースホワイトリストの有用性
Abstract
Web サービスの複雑化に伴い,マイクロサービスアーキテクチャ(MSA)型の Web アプリケーション開発へと移行している.しかし,MSA においては,マイクロサービス同士を組み上げる際に,各マイクロサービスが持つセキュリティポリシによってコンフリクトが発生し得るため,セキュリティバイデザインの実現に課題を抱えている.この課題に対処する方法としては,セキュリティガイドラインの運用によってマイクロサービス間のセキュリティポリシを共通化する方法や,APIGateway によってセキュリティポリシの調停を行う方法が挙げられる.しかし,セキュリティガイドラインの導入は,サービスの開発に注力したい開発者にとって技術的及び作業的負担が大きいという問題がある.また,DOMBasedXSS 攻撃のようにフロントエンドで攻撃が完結するものに対しては,APIGateway での調停が機能しないという問題がある.そこで,本稿では,MSA 型の Web アプリケーションの開発において,テストベースホワイトリストを採用することで,開発テストを通じてマイクロサービス同士の調停を開発者が意識せずに達成することを提案する.