セキュリティ＆ストレステスト

はじめに

セキュリティテストは、アプリケーションのセキュリティ脆弱性を検証するためのさまざまな手法やツールを含む複雑な分野。

チャットアプリケーションにおいてセキュリティテストが特に必要となる主な領域は、ログインおよび登録システム。 この領域でのセキュリティ脆弱性は、データの漏洩や損失につながる可能性がある。

セキュリティテストとストレステストの関係

一方、ストレステストはアプリケーションがどれだけの処理負荷に耐えられるかを検証するもの。すべてのアプリケーションには理論上限界が存在し、例えばチャットアプリケーションは毎秒大量のメッセージを処理できるが、限界を超えると動作が停止する。このような制限は悪用される可能性があり、アプリケーションのクラッシュやデータの破損、不要な障害を引き起こす。そのため、ストレステストはセキュリティテストの一部として実施されることが多い。実際のシナリオとして、多数のユーザーが同時接続する状況などもテストされる。

セキュリティテストの多くは、アプリケーションのコードやデータの保存・取得方法（データベースがある場合）に関する知識を必要とする。多くの場合、セキュリティおよびストレステストのために基本的なテストケースを作成する。例：

• テストケース1: ユーザーが作成できるアカウント数の上限を検証する；
• テストケース2: ユーザーが自分の役割や権限に基づいたリソースや機能のみアクセスできることを確認する；
• テストケース3: 認証のバイパス（例：ログインフォームでのSQLインジェクション）を試す；

ただし、アプリケーションを悪用する方法は多岐にわたるため、この分野では探索的テストも非常に一般的。

次のビデオでは、アプリケーションにおける基本的なストレステストのポイントを紹介。

ビデオで触れられていないもう一つのポイントは、ユーザーがプロフィール画像としてアップロードできる画像ファイルサイズの制限。