安全なデータ アクセス
セキュリティで保護された ADO.NET コードを作成するには、基になるデータ ストア、つまりデータベースで利用可能なセキュリティ機構を理解しておく必要があります。 さらに、アプリケーションに含まれる他の機能またはコンポーネントのセキュリティへの影響も考慮する必要があります。
認証、認可、および権限
Microsoft SQL Server に接続する場合は、Windows 認証 (統合セキュリティ) を使用できます。Windows 認証では、ユーザー ID とパスワードを渡さずに、現在のアクティブな Windows ユーザーの ID を使用します。 ユーザー資格情報が接続文字列内で公開されないため、Windows 認証をオンプレミス データベースに使用することを強くお勧めします。 SQL Server への接続に Windows 認証を使用できない場合は、SqlConnectionStringBuilder を使用して、接続文字列を実行時に作成することを検討してください。
重要
Microsoft では、使用可能な最も安全な認証フローを使用することをお勧めします。 Azure SQL に接続する場合は、Azure リソースの管理 ID が推奨される認証方法です。
認証に使用する資格情報は、アプリケーションのタイプに基づいて、それぞれ個別に処理する必要があります。 たとえば、Windows フォーム アプリケーションでは、ユーザーに認証情報の入力を求めたり、ユーザーの Windows 資格情報を使用できます。 Web アプリケーションでは、ユーザーではなくアプリケーションより提供された資格情報を使用してデータにアクセスする場合がよくあります。
いったん認証されたユーザーは、与えられた権限に基づく範囲で操作を実行できます。 常に最小特権の原則に従い、どうしても必要な権限以外は付与しないようにしてください。
詳細については、次のリソースを参照してください。
リソース | 説明 |
---|---|
接続情報の保護 | 保護構成を使用して接続文字列を暗号化する方法など、セキュリティのベスト プラクティスと接続情報を保護する手法について説明します。 |
接続文字列ビルダー | 実行時にユーザー入力から接続文字列を構築する方法について説明します。 |
SQL Server データベース エンジンと Azure SQL Database のセキュリティ | SQL Server Database Engine と Azure SQL Database のセキュリティと保護に関する情報を見つけるのに役立つリンクを提供します。 |
パラメーター化コマンドと SQL インジェクション
パラメーター化コマンドは SQL インジェクション攻撃への対策として利用できます。SQL インジェクション攻撃は、SQL ステートメントに、サーバーのセキュリティを侵害するコマンドを "注入" することによって行われます。 パラメーター化コマンドを使用した場合、外部ソースから受け取る値が必ず値として渡され、Transact-SQL ステートメントの一部になることはないため、SQL インジェクション攻撃を防ぐことができます。 Transact-SQL コマンドが値に挿入されたとしても、データ ソースに対して実行されることはありません。 これらのコマンドは、単なるパラメーター値として処理されます。 セキュリティ面の利点に加え、パラメーター化コマンドには、Transact-SQL ステートメントで渡される値やストアド プロシージャに渡される値を簡単に扱うことができるという利点もあります。
パラメーター化コマンドの使い方の詳細については、次のリソースを参照してください。
リソース | 説明 |
---|---|
DataAdapter パラメーター | DataAdapter でパラメーターを使用する方法について説明します。 |
ストアド プロシージャでのデータの変更 | パラメーターの指定方法および戻り値の取得方法について説明します。 |
ストアド プロシージャ (データベース エンジン) | ストアド プロシージャを使用する利点と、さまざまな種類のストアド プロシージャについて説明します。 |
プローブ攻撃
攻撃者は、システムを攻撃するときに、サーバー、データベース、テーブルなどの名前を例外情報から取得して使用することがよくあります。 例外には、アプリケーションやデータ ソースに関する具体的な情報が含まれている場合があるので、アプリケーションとデータ ソースの保護を強化するには、クライアント側に不可欠な情報だけを公開するようにします。
詳細については、次のリソースを参照してください。
リソース | 説明 |
---|---|
.NET での例外の処理とスロー | try/catch/finally 構造化例外処理の基本的な形式について説明します。 |
例外の推奨事項 | 例外処理のベスト プラクティスについて説明します。 |
Microsoft Access および Excel データ ソースの保護
セキュリティ要件が最小限の場合、またはセキュリティ要件がまったく存在しない場合は、Microsoft Access や Microsoft Excel を ADO.NET アプリケーションのデータ ストアとして利用できます。 セキュリティ面では、"関係者以外には触らせないようにする" とった程度であれば十分な抑止効果がありますが、それ以上のセキュリティを求めることはできません。 Access および Excel の物理データ ファイルはファイル システム上に存在するため、原則的にすべてのユーザーがアクセスできます。 ファイルは容易にコピーしたり改変したりできるため、データの盗難や損失といった攻撃には決して強くありません。 堅牢なセキュリティが必要な場合は、SQL Server など、物理データ ファイルをファイル システムから読み取ることのできないサーバー ベースのデータベースを使用してください。
Enterprise Services
COM+ は、Windows アカウントおよびプロセスやスレッドの偽装に基づく独自のセキュリティ モデルを備えています。 System.EnterpriseServices 名前空間は、.NET アプリケーションが、ServicedComponent クラスを使用して、マネージド コードと COM+ セキュリティ サービスを統合できるようにするラッパーを提供します。
アンマネージド コードとの相互運用
.NET Framework は、COM コンポーネント、COM+ サービス、外部のタイプ ライブラリ、各種のオペレーティング システム サービスなど、アンマネージ コードとの相互運用性をサポートします。 アンマネージド コードを使用することは、マネージド コードのセキュリティ境界の外に出ることを意味します。 作成するコード、およびそれを呼び出すコードのどちらにも、アンマネージ コード権限 (SecurityPermission フラグが指定された UnmanagedCode) が必要です。 アンマネージ コードは、意図しないセキュリティ上の脆弱性をアプリケーションにもたらす可能性があります。 どうしても必要な場合を除き、アンマネージ コードとの相互運用は避けてください。
詳細については、「アンマネージ コードとの相互運用」を参照してください。