セキュリティ on 設計書

セキュリティ on 設計書https://Hitamuki.github.io/image-upload/design/security/Recent content in セキュリティ on 設計書Hugoja画像アップロードhttps://Hitamuki.github.io/image-upload/design/security/sec001-upload/Mon, 01 Jan 0001 00:00:00 +0000https://Hitamuki.github.io/image-upload/design/security/sec001-upload/<h1 id="画像アップロード">画像アップロード<a class="anchor" href="#%e7%94%bb%e5%83%8f%e3%82%a2%e3%83%83%e3%83%97%e3%83%ad%e3%83%bc%e3%83%89">#</a></h1> <h2 id="id">ID<a class="anchor" href="#id">#</a></h2> <p>sec001-upload</p> <h2 id="関連仕様設計">関連仕様・設計<a class="anchor" href="#%e9%96%a2%e9%80%a3%e4%bb%95%e6%a7%98%e8%a8%ad%e8%a8%88">#</a></h2> <ul> <li><a href="https://Hitamuki.github.io/image-upload/requirements/req001-upload/">req001-upload</a></li> <li><a href="https://Hitamuki.github.io/image-upload/design/interaction/ia001-upload/">ia001-upload</a></li> <li><a href="https://Hitamuki.github.io/image-upload/design/common/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%A8%AD%E8%A8%88%E6%8C%87%E9%87%9D/">セキュリティ設計指針</a></li> </ul> <h2 id="概要">概要<a class="anchor" href="#%e6%a6%82%e8%a6%81">#</a></h2> <p>画像アップロード時における脅威と、それに対する具体的な防御策を定義する。</p> <h2 id="セキュリティリスク分析">セキュリティリスク分析<a class="anchor" href="#%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e3%83%aa%e3%82%b9%e3%82%af%e5%88%86%e6%9e%90">#</a></h2> <h3 id="1-ファイル形式偽装攻撃">1. ファイル形式偽装攻撃<a class="anchor" href="#1-%e3%83%95%e3%82%a1%e3%82%a4%e3%83%ab%e5%bd%a2%e5%bc%8f%e5%81%bd%e8%a3%85%e6%94%bb%e6%92%83">#</a></h3> <p><strong>脅威</strong>: 悪意のある実行ファイルを画像ファイルとして偽装してアップロードされる</p> <p><strong>防御策</strong>:</p> <ul> <li><strong>バイナリ検証</strong>: ファイルの拡張子だけでなく、マジックナンバー（バイナリヘッダ）を読み取り、許可された画像形式であることを検証する</li> <li><strong>許可リスト</strong>: JPEG、PNG、WebPなど許可された画像形式のみを受け付ける</li> <li><strong>ファイル内容スキャン</strong>: アップロード後にウイルススキャンを実施する</li> </ul> <h3 id="2-不正アクセスとデータ漏洩">2. 不正アクセスとデータ漏洩<a class="anchor" href="#2-%e4%b8%8d%e6%ad%a3%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%a8%e3%83%87%e3%83%bc%e3%82%bf%e6%bc%8f%e6%b4%a9">#</a></h3> <p><strong>脅威</strong>: 認証されていないユーザーによる画像へのアクセスや第三者への漏洩</p> <p><strong>防御策</strong>:</p> <ul> <li><strong>署名付きURL</strong>: S3へのアップロード・ダウンロードには署名付きURLを使用する</li> <li><strong>有効期限制御</strong>: 署名付きURLの有効期限を厳格に管理する（アップロード用5分、閲覧用1時間）</li> <li><strong>最小権限原則</strong>: アップロードされたファイルはデフォルトで非公開とし、presigned URL経由のみ閲覧可能とする</li> </ul> <h3 id="3-リソース枯渇攻撃">3. リソース枯渇攻撃<a class="anchor" href="#3-%e3%83%aa%e3%82%bd%e3%83%bc%e3%82%b9%e6%9e%af%e6%b8%87%e6%94%bb%e6%92%83">#</a></h3> <p><strong>脅威</strong>: 大量のアップロードによるストレージ容量の枯渇や、サービス妨害</p> <p><strong>防御策</strong>:</p> <ul> <li><strong>サイズ制限</strong>: ファイルサイズを5MB以下に制限する</li> <li><strong>レート制限</strong>: IPアドレスまたはユーザーIDごとにアップロード回数を制限する（1分間に10回まで）</li> <li><strong>クォータ管理</strong>: ユーザーごとの総アップロード容量を制限する</li> </ul> <h3 id="4-中間者攻撃">4. 中間者攻撃<a class="anchor" href="#4-%e4%b8%ad%e9%96%93%e8%80%85%e6%94%bb%e6%92%83">#</a></h3> <p><strong>脅威</strong>: 通信経路でのデータ改ざんや盗聴</p> <p><strong>防御策</strong>:</p> <ul> <li><strong>TLS強制</strong>: 全通信をHTTPS（TLS 1.2以上）に限定する</li> <li><strong>証明書検証</strong>: SSL/TLS証明書の厳格な検証を行う</li> <li><strong>HSTS</strong>: HTTP Strict Transport Securityを有効化する</li> </ul> <h2 id="セキュリティ要件">セキュリティ要件<a class="anchor" href="#%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e8%a6%81%e4%bb%b6">#</a></h2> <h3 id="1-多層防御-defense-in-depth">1. 多層防御 (Defense in Depth)<a class="anchor" href="#1-%e5%a4%9a%e5%b1%a4%e9%98%b2%e5%be%a1-defense-in-depth">#</a></h3> <ul> <li><strong>バイナリ検証</strong>: システムは、ファイルの拡張子だけでなく、マジックナンバー（バイナリヘッダ）を読み取り、許可された画像形式であることを検証しなければならない。</li> <li><strong>署名付きURL</strong>: S3 へのアップロードには署名付き URL を使用し、その有効期限は発行から <strong>5分間</strong> としなければならない。</li> </ul> <h3 id="2-最小権限の原則">2. 最小権限の原則<a class="anchor" href="#2-%e6%9c%80%e5%b0%8f%e6%a8%a9%e9%99%90%e3%81%ae%e5%8e%9f%e5%89%87">#</a></h3> <ul> <li><strong>S3 ACL</strong>: アップロードされたファイルはデフォルトで非公開とし、認可用 presigned URL を介してのみ閲覧可能とする。</li> </ul> <h3 id="3-リソース制限">3. リソース制限<a class="anchor" href="#3-%e3%83%aa%e3%82%bd%e3%83%bc%e3%82%b9%e5%88%b6%e9%99%90">#</a></h3> <ul> <li><strong>Size Limit</strong>: バックエンドは、署名付き URL 発行前にリクエストされたファイルサイズが 5MB 以下であることを厳密に検証しなければならない。</li> <li><strong>Rate Limit</strong>: IP アドレスまたはユーザー ID ごとに、一定時間内のアップロード回数を制限しなければならない（1分間に 10回まで等）。</li> </ul> <h3 id="4-通信セキュリティ">4. 通信セキュリティ<a class="anchor" href="#4-%e9%80%9a%e4%bf%a1%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3">#</a></h3> <ul> <li><strong>TLS強制</strong>: 全ての通信はHTTPS（TLS 1.2以上）でなければならない。</li> <li><strong>証明書検証</strong>: SSL/TLS証明書の有効性を検証しなければならない。</li> </ul>