資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド

資料請求リスト

資料請求
0件
  • ホーム
  • 製品を探す
  • ランキングから探す
  • 記事を読む
  • はじめての方へ
  • 掲載について
  • ITトレンドEXPO
  1. IT製品 比較TOP
  2. ネットワークセキュリティ
  3. サイバー攻撃対策製品
  4. サイバー攻撃対策製品の関連記事一覧
  5. サニタイジングとは?実施方法を簡単に分かりやすく解説!

サニタイジングとは?実施方法を簡単に分かりやすく解説!

Share
Tweet
Hatena
Pocket
2020年05月20日 最終更新
サイバー攻撃対策製品の製品一覧
サニタイジングとは?実施方法を簡単に分かりやすく解説!

サニタイジングとは、Webアプリケーションにおけるセキュリティ対策の1つです。SNSや掲示板から投稿された文字列に含まれる有害な文字・文字列を検知して無害化することをいいます。

この記事では、サニタイジングの概要から必要性、実施方法まで解説します。自社の情報を守る参考にしてください。

サイバー攻撃対策製品 の製品を調べて比較
製品をまとめて資料請求! 資料請求フォームはこちら
資料請求した製品の比較表が無料で作成できます
サイバー攻撃対策製品の資料請求ランキングで製品を比較! 今週のランキング第1位は?

サニタイジングとは

サニタイジングは、掲示板やSNSなどの入力フォームの内容をチェックして、含まれる有害な文字・文字列を検知し、無害化することです。有害な文字・文字列としてはHTMLタグやjavascript、SQLコードなどがあります。元々の英語としては「sanitizing=消毒、衛生的にすること」を意味します。

無害化する手段はいくつかあります。そのうち代表的なのが、文字・文字列を元の表記と同じ意味を持つ別の表記に置き換えるエスケープ処理です。エスケープによる対処が難しい場合は、対象のプログラムを削除することもあります。

たとえば、HTMLタグ<br>の「<」「>」の部分をそれぞれ「&lt;」「&gt;」にエスケープすると、「&lt;br&gt;」となります。こうすることで、受け取ったデータがWebアプリケーションにとって意味を持つ<br>であっても、特別な意味を持たない単なる文字列として取り扱えるようになります。

サニタイジングの必要性

サニタイジングはXSS(クロスサイトスクリプティング)対策として有効です。XSSはサイバー攻撃の1つで、Webサイト上の入力フォームに不正なプログラムを仕掛けることで成立します。

XSSの脅威の例としては以下のものがあります。

  • ■セッションハイジャック
  • ■個人情報の不正取得
  • ■フィッシング詐欺

たとえば、攻撃者はSNSや掲示板などの動的サイトに悪意あるプログラムを仕掛け、ユーザーを偽サイトに誘導することが可能です。そこでユーザーにログインID・パスワードなどを入力させ、不正に取得できます。

しかし、サニタイジングをすれば攻撃者によって仕掛けられたプログラムを無害な文字・文字列に置き換えられ、被害を防げます。

サニタイジングの実施方法

サニタイジングはHTML生成時のタイミングで実施します。その方法を3つ見ていきましょう。

JavaScriptでオリジナルの関数を使う

JavaScriptにはサニタイジング用の関数はありません。しかし、独自に文字列を置換する関数を定義してサニタイジングを実施することは可能です。

以下に例を示します。

function htmlentities(str){
  return String(str).replace(/&/g,"&amp;")
    .replace(/</g,"&lt;")
    .replace(/>/g,"&gt;")
    .replace(/"/g,"&quot;")
}

replace(/〇/g,"◆")は、「〇を◆に置き換える」ことを意味します。

上記の関数 htmlentitiesにより「&→&amp;」「&lt;→<」「&gt;→>」「&"→"」という置き換えが行われます。この置換により、入力文字列strをHTMLとしては意味のない文字・文字列に変換します。

PHPでhtmlspecialchars関数を使う

PHPには、あらかじめサニタイジングに使えるhtmlspecialchars関数が用意されています。

htmlspecialchars($str, ENT_QUOTES, ‘UTF-8′);

これを利用するだけでサニタイジングが実現します。そのため、前述したJavaScriptとは違い、独自に置換関数を定義する必要はありません。

ちなみに、上記の関数における引数はそれぞれ以下の役割を果たします。

$str
この部分に入力された文字列を設定します。
ENT_QUOTES
サニタイジングのルールで、基本的には「ENT_QUOTES」が使われます。これは「<」や「>」「'」「"」を置換するルールです。
‘UTF-8′
サニタイジングされた文字列の文字コードを指定します。

SQLでプリペアードステートメントを行う

SQLではプリペアードステートメントを利用することでサニタイジングを実施できます。プリペアードステートメントは、「SQL実行前にSQL文をコンパイルしておき、実行時にパラメータ変数に値を当てはめる」ような動作をします。

例を1つ見てみましょう。

$stmt = $dbh->prepare('SELECT * FROM users WHERE name = :name');

プリペアードステートメントでは上記のようにprepare()を使います。括弧の中にSQL文を入れると、それがあらかじめ準備(プリペアー)された文章となります。

しかし、この時点ではまだ括弧内のSQL文は完成していません。末尾に「:name」とありますが、これは具体的なデータではなく仮の固定値だからです。実行時に、この部分に具体的なデータが入ることで、初めてSQL文が完成します。

この仕組みを利用すれば、想定しないSQL文が実行され、データベースを不正操作されることを防止できます。

サニタイジングをしてセキュリティを向上させよう!

サニタイジングとは、SNSや掲示板の入力フォームの内容をチェックして、含まれる有害文字・文字列を検知し、無害化することです。その方法として、特定の文字・文字列を別のものに置き換えるエスケープが使われます。

サニタイジングにより、有害な文字・文字列としてはHTMLタグやjavascript、SQLコードを実行してしまうリスクを回避できます。

適切にサニタイジングを行い、セキュリティレベルを高めましょう。

サイバー攻撃対策製品 製品を調べて比較
製品をまとめて資料請求! 資料請求フォームはこちら
資料請求した製品の比較表が無料で作成できます
サイバー攻撃対策製品の資料請求ランキングで製品を比較! 今週のランキング第1位は?
こちらもおすすめ!
サイバー攻撃対策 選び方ガイド
電球 製品を選ぶときのポイントがわかる!
電球 どんな企業が導入すべきかがわかる!
お役立ち資料ダウンロード
選び方ガイドのダウンロードはこちら arrow

このカテゴリーに関連する記事

zipファイルにパスワードを設定する方法は?忘れたときの対処法も

zipファイルにパスワードを設定する方法は?忘れたときの対処法も

エクセルにパスワードを設定するには?忘れたときの対処法もご紹介

エクセルにパスワードを設定するには?忘れたときの対処法もご紹介

サイバー警察とは?通報すべき被害や実際の対応例をご紹介!

サイバー警察とは?通報すべき被害や実際の対応例をご紹介!

プロキシとは?利用上のメリット・デメリットを簡単に説明!

プロキシとは?利用上のメリット・デメリットを簡単に説明!

脆弱性をなくす「セキュリティパッチ」とは?管理・運用方法も紹介!

脆弱性をなくす「セキュリティパッチ」とは?管理・運用方法も紹介!

サイバー犯罪の事例を紹介!被害を受けないための対策も解説

サイバー犯罪の事例を紹介!被害を受けないための対策も解説

「入口」・「内部」・「出口」対策で行うサイバー攻撃対策とは?

「入口」・「内部」・「出口」対策で行うサイバー攻撃対策とは?

サニタイジングとは?実施方法を簡単に分かりやすく解説!

サニタイジングとは?実施方法を簡単に分かりやすく解説!

DNSサーバ攻撃とは?DNSの基本や攻撃の被害・対策までまとめて解説!

DNSサーバ攻撃とは?DNSの基本や攻撃の被害・対策までまとめて解説!

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「サニタイジングとは?実施方法を簡単に分かりやすく解説!」というテーマについて解説しています。サイバー攻撃対策の製品導入を検討をしている企業様は、ぜひ参考にしてください。

お役立ち資料ダウンロード
サイバー攻撃対策
基本情報から選ぶ時のポイント、ITトレンドおすすめの製品情報をまとめてご紹介します。
関連製品・サービス
資料請求で
比較表が作れる!
株式会社イーネットソリューションズ
株式会社イーネットソリューションズ
追加
月額15万円から!ログ分析サービスMagic Insight for QRadar(SIEM)+QAW
1つのインシデントから隠された周辺脅威を数クリックで瞬時に明らかにし、アナリストの知見や洞察を大きく補助します。
Sky株式会社
Sky株式会社
☆☆☆☆☆
★★★★★
4
追加
クライアント運用管理ソフトウェアSKYSEA Client View
猛威を振るうサイバー攻撃に、多層防御による情報漏洩対策を。 ITセキュリティ対策強化機能も搭載したクライアント運用管理ソフトウェア。
SBテクノロジー株式会社
SBテクノロジー株式会社
☆☆☆☆☆
★★★★★
3.6
追加
世界最大級のクラウド型セキュリティサービスZscaler (セキュリティ監視付)
Zscalerは世界最大級のクラウド上で動作するセキュリティWebプロキシサービスを提供するクラウドセキュリティ専門のSaaSサービスです。
株式会社ジャパンコンピューターサービス
株式会社ジャパンコンピューターサービス
☆☆☆☆☆
★★★★★
4
追加
卓越した次世代型エンドポイント保護<SOPHOS>Intercept X
ディープラーニング型のAIにより、未知のマルウェアをその場で判断・検出します。
SBテクノロジー株式会社
SBテクノロジー株式会社
☆☆☆☆☆
★★★★★
3.8
追加
すぐ始めるTrend Micro Deep Security as a Service (セキュリティ監視付)
サーバー保護に必要なファイアウォールや IPS/IDS、ウイルス対策、セキュリティログ監視、ファイルやレジストリなどをすべてまとめて月額課金タイプにしたクラウドサービスです。
株式会社ディアイティ
株式会社ディアイティ
追加
セキュリティ意識向上トレーニングプラットフォームKnowBe4
セキュリティ意識向上トレーニング&フィッシングシミュレーション・分析を組み合わせた統合型プラットフォームです。サイバー攻撃から企業リスクを低減するための対策・支援をいたします。
株式会社ピーエスアイ
株式会社ピーエスアイ
追加
標的型サイバー攻撃の内部対策TiFRONTセキュリティスイッチ
検知したら即遮断!「検知・遮断・解除」を自動で行うことができるセキュリティ機能を有したスイッチ、TiFRONTセキュリティスイッチです。
株式会社NSD
株式会社NSD
追加
AIが未知の脅威を即検知!/サイバー攻撃対策Sophos Central Intercept X
Intercept Xは新しい驚異からPCを守ります。標的型攻撃対策、ランサムウェアなどへの対策から、EDR機能による感染原因の解析、感染後の修復まで可能。既存のアンチウイルスとの併用も可能です。
株式会社ピーエスアイ
株式会社ピーエスアイ
☆☆☆☆☆
★★★★★
4
追加
DarkTrace
企業情報ネットワークの動態を機械学習し、 わずかな変化も検知・アラート通知します。
株式会社サイバーセキュリティクラウド
株式会社サイバーセキュリティクラウド
☆☆☆☆☆
★★★★★
3.9
追加
累計導入サイト数No.1のWebセキュリティ クラウド型WAF「攻撃遮断くん」
攻撃遮断くんはWebサイト・Webサーバをサイバー攻撃から守ります。 Webサイト改ざんや、情報漏えいなどの被害を未然に防ぎます。 技術者不要で”かんたん”に高セキュリティを実現します。
株式会社TTM
株式会社TTM
☆☆☆☆☆
★★★★★
3.5
追加
AIが支援するセキュリティソフトSentinelOne
仕事のパフォーマンスを下げない! 阻止だけではなく検知&対応ができるセキュリティソフトです。
大興電子通信株式会社
大興電子通信株式会社
☆☆☆☆☆
★★★★★
4.5
追加
ゼロデイ攻撃・未知の攻撃から守る、新世代のサイバー攻撃対策AppGuard
AppGuardは、ネットにつながる全てのコネクテッド・システムをサイバー攻撃から衛り、またネット上での“信頼”を確保し プライバシー保護を基に、皆様に「安心」と「安全」を提供致します。
ペンタセキュリティシステムズ株式会社
ペンタセキュリティシステムズ株式会社
追加
WAF/DDoS対策/無償SSLサービス クラウド型WAFクラウドブリック(Cloudbric)
クラウドブリックはサイバー攻撃からWebサイトを保護するクラウド型WAFです。企業規模に関わらず利用状況に合わせたプランを提供しており、高セキュリティをリーズナブルな料金で導入できます。
株式会社アイロバ
株式会社アイロバ
☆☆☆☆☆
★★★★★
4.9
追加
BLUE Sphere
『BLUE Sphere』は不正アクセスを防御するWAFからドメイン監視、万一の際の保障まで、攻撃者が最も嫌う様々な機能でWebサイトを強固に守る「多層防御」を機能/価格面で最適化したサービスです。
株式会社東計電算
株式会社東計電算
追加
クラウド型マルウェア対策サービスTotal Security Function Service
カスペルスキーテクニカルパートナー東計電算によるマルウェア関連の 問い合わせサポートと管理者へのメール通知サービスも付属。 少ない管理コストでセキュリティ運用ができます。
大興電子通信株式会社
大興電子通信株式会社
追加
中小企業をサイバー攻撃から守る!AppGuard Small Business Edition
AppGuard Soloの簡便性とAppGuard Enterpriseの統合管理機能を備えた従業員1~300名の中小企業を対象とした製品です。AppGuardは膨大な被害をもたらすマルウェアの被害から事業を守ります。
株式会社ハンモック
株式会社ハンモック
☆☆☆☆☆
★★★★★
4.3
追加
IT資産管理ツールAssetView
クライアント×サーバー構成でPC管理課題を解決! 組織内のPC情報を収集する機能に加え、PCの設定コントロールや制御・警告・マルウェア対策等も行うトータルクライアントソリューションです。
SBテクノロジー株式会社
SBテクノロジー株式会社
追加
EDR製品の運用・監視代行MSS for EDR
24時間365日、セキュリティ専門アナリストがEDR製品の運用・監視をお客様に変わって行うマネージドサービスです。アラートの分析と最善の対処をすばやく行い、最適なセキュリティを提供します。
Deep Instinct/ディープインスティンクト株式会社・エムオーテックス株式会社
Deep Instinct/ディープインスティンクト株式会社・エムオーテックス株式会社
追加
Deep Instinct
ディープラーニングを使った次世代型エンドポイント製品です。 あらゆる種類の脅威を瞬時に予測し防ぐことができ、今求められるセキュリティ要件に対応し、安心と安全を提供いたします。
株式会社 モニタラップ
株式会社 モニタラップ
追加
WAF、改ざん検知、URLフィルタを一つのサービスで一元管理!AIONCLOUD
WEBの改ざん検知やURLフィルタなどのセキュリティ機能をクラウドサービスとして提供します。
SBテクノロジー株式会社
SBテクノロジー株式会社
☆☆☆☆☆
★★★★★
3.7
追加
クラウドベースの法人向けプロキシMcAfee Web Gateway Cloud Service
いつでもどこからでも、危険なWebサイトへのアクセスを防ぐクラウドサービスです。可用性の高い安定したパフォーマンスでサイバー攻撃を防ぎ、安心のWebセキュリティを提供します。
Vade Secure株式会社
Vade Secure株式会社
追加
メールセキュリティソリューションVade for M365
あらゆる脅威に対して全方位の保護を確立! AIと人の連携により標的型攻撃を阻止するメールセキュリティソリューションです。
株式会社セキュアスカイ・テクノロジー
株式会社セキュアスカイ・テクノロジー
☆☆☆☆☆
★★★★★
4.5
追加
国内のクラウド型WAF市場連続シェアNo.1 クラウド型(SaaS型)WAFScutum
ScutumはWebアプリケーションの脆弱性から顧客を守るクラウド型WAFサービスです。新たな攻撃の手法にも素早く対応し、より安全なWebサービスのご提供が可能です。
資料請求ランキング
8月2日(月) 更新
第1位
  • AIが支援するセキュリティソフトSentinelOne
  • 株式会社TTM
第2位
  • AIが未知の脅威を即検知!/サイバー攻撃対策Sophos Central Intercept X
  • 株式会社NSD
第3位
  • 標的型サイバー攻撃の内部対策TiFRONTセキュリティスイッチ
  • 株式会社ピーエスアイ
一覧を見る
  • ログイン
    •
  • 新規会員登録
    •
ITトレンドへの製品掲載・広告出稿はこちらから
新着記事
  • フリーWi-Fiの危険性とは?効果的なセキュリティ対策も紹介!
    外出先でもインターネットに接続できる利便性の高...
  • zipファイルにパスワードを設定する方法は?忘れたときの対処法も
    ファイルを圧縮でき、利便性の高いzip。それにパス...
  • 日本におけるサイバー攻撃対策の課題とは?今やるべきことを徹底解説
    日本は、ITへのリテラシーが世界的に見て異常に低...
  • DNSサーバ攻撃とは?DNSの基本や攻撃の被害・対策までまとめて解説!
    昨今DNSを悪用したセキュリティ攻撃が後を絶ちませ...
  • 企業を狙う標的型攻撃の種類とは?それぞれのリスクと対策も!
    インターネットは今日、ビジネスに不可欠な存在と...
  • 【徹底解説】警戒すべきランサムウェアとは?手口から対策まで!
    ランサムウェア(Ransomware)は、侵入することでP...
  • 多層防御とは?多重防御との違いは?システム構築のポイントも紹介!
    増加するセキュリティ上の脅威には多層防御が必要...
  • サイバー攻撃対策ツールを比較!選定ポイント・対策の注意点は?
    サイバー攻撃から情報資産を守るため、サイバー攻...
  • 「入口」・「内部」・「出口」対策で行うサイバー攻撃対策とは?
    従来サイバー攻撃対策の中心は外からの侵入をいか...
  • サイバー攻撃者のタイプとは?サイバー攻撃の手口・対策など徹底解説
    この記事ではサイバー攻撃者の種類・目的・手口・...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ|
IT製品を探す
製品を探す |
ランキングから探す
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
List Finder |
Urumo! |
bizplay

Copyright (C) 2021 IT Trend All Rights Reserved.

サイバー攻撃対策製品の製品をまとめて資料請求
資料請求フォームはこちらplay_circle_outline
0件の製品が資料請求リストにあります。
リストの製品に資料請求するplay_circle_outline すべての製品に資料請求するplay_circle_outline
リストの製品に資料請求するplay_circle_outline すべての製品に資料請求するplay_circle_outline
リストをリセットreplay
資料請求リストをリセットします。
よろしいですか?
はい いいえ