PHPで安全なセッションID再生成とCSRF対策の徹底解説

PHPを使ったWebアプリケーション開発において、セッション管理はユーザーの安全性と利便性を確保するために非常に重要です。特に、セッションIDの管理が不適切だと、セッションハイジャックやCSRF（クロスサイトリクエストフォージェリ）といった攻撃のリスクが高まります。これらの攻撃は、ユーザーの権限を不正に利用することを目的とし、個人情報の漏洩や不正操作を引き起こす可能性があります。

本記事では、PHPによるセッションIDの安全な再生成方法と、CSRF対策を徹底的に解説します。具体的なコード例や実践的なテクニックを交えながら、セッション管理に関するベストプラクティスを学び、Webアプリケーションのセキュリティを強化するための知識を深めていきます。

セッション管理の基礎

セッション管理とは、Webアプリケーションがユーザーごとの状態を維持するための仕組みです。HTTPは本質的にステートレスなプロトコルであるため、ユーザーがページ間を移動するたびにリクエストが独立して送信されます。セッション管理を使うことで、ユーザーがログイン状態やショッピングカートの中身などを維持したまま、複数のページをまたいで操作することが可能になります。

セッションIDの役割

セッション管理は、セッションIDと呼ばれる一意の識別子を用いて実現されます。このIDがユーザーのブラウザとサーバー間で共有され、ユーザーの状態を特定します。セッションIDは通常、クッキーを介してユーザーのブラウザに保存されます。

セッション管理の重要性

セッションが適切に管理されていないと、以下のような問題が発生する可能性があります。

• セッションハイジャック：攻撃者が他のユーザーのセッションIDを取得し、不正にアクセスするリスクがあります。
• セッション固定攻撃：攻撃者が特定のセッションIDをユーザーに強制し、その後不正にアクセスする可能性があります。

セッション管理の基本を理解することは、安全なWebアプリケーションを構築するための第一歩です。

CSRF攻撃とは

CSRF（クロスサイトリクエストフォージェリ）攻撃は、ユーザーが意図しない操作を実行するように仕向けるWebアプリケーション攻撃の一種です。攻撃者は、信頼されたユーザーの権限を利用して、不正なリクエストをターゲットのWebアプリケーションに送信させます。この攻撃は、ユーザーがすでにログインしているセッションを悪用するため、リクエスト自体が正当なものとしてサーバー側で処理される可能性があります。

CSRF攻撃の仕組み

CSRF攻撃は、通常以下のような手順で実行されます。

1. ユーザーがターゲットのWebアプリケーションにログインし、セッションIDを保持している状態にする。
2. 攻撃者が悪意のあるリンクやフォームを埋め込んだWebページに誘導し、ユーザーにアクセスさせる。
3. ユーザーのブラウザからターゲットのWebアプリケーションに不正なリクエストが送信される。ユーザーのセッション情報が自動的に付与されるため、リクエストは正規のユーザーによる操作として処理される。

CSRF攻撃の影響

CSRF攻撃が成功すると、次のような深刻な被害を引き起こす可能性があります。

• ユーザーアカウントの設定変更：メールアドレスやパスワードが不正に変更される。
• 金銭的被害：オンラインショッピングサイトで不正な購入や支払いが行われる。
• データの改ざんや削除：ユーザーが所有するデータに対して不正な操作が行われる。

CSRF攻撃を防ぐためには、適切な対策を講じてセッションIDとリクエストの検証を強化することが重要です。

セッションID再生成の必要性

セッションIDの再生成は、Webアプリケーションのセキュリティを強化するために重要な手段です。セッションIDが予測可能であったり、第三者に漏洩してしまうと、攻撃者がそのIDを利用して不正にアクセスするリスクが生じます。定期的にセッションIDを再生成することで、セッションハイジャックやセッション固定攻撃といったリスクを軽減することが可能です。

セッションハイジャックのリスク軽減

セッションハイジャックは、攻撃者がユーザーのセッションIDを盗み取り、そのセッションを乗っ取る行為です。再生成によってセッションIDが変わるため、仮に攻撃者が以前のIDを入手しても、セッションの乗っ取りを防ぐことができます。

セッション固定攻撃への対策

セッション固定攻撃では、攻撃者が事前に用意したセッションIDをユーザーに強制的に使用させ、そのセッションを利用して不正な操作を行います。セッションIDをログイン時に再生成することで、攻撃者が指定したIDを使用させるリスクを低減できます。

再生成によるセッションの分離

セッションIDの再生成を行うことで、ログイン状態やユーザーのアクティビティが確実に現在のユーザーに紐づくようになります。これは、ログイン処理後や重要な権限変更後など、セキュリティ上の重要な操作を行った際に特に有効です。

セッションIDの再生成は、Webアプリケーションにおけるセキュリティの重要な一部であり、適切に実施することで多くの攻撃から保護することができます。

PHPでのセッションID再生成方法

PHPでは、セッションIDの再生成を簡単に行うことができます。これにより、セッションの安全性を高め、セッションハイジャックやセッション固定攻撃のリスクを軽減することが可能です。PHPではsession_regenerate_id()関数を使用してセッションIDを再生成します。

session_regenerate_id()関数の使い方

session_regenerate_id()関数は、現在のセッションIDを新しいものに置き換え、古いセッションIDを無効化する機能を持っています。この関数は、セッションの開始後に呼び出す必要があります。以下に基本的な使用方法を示します。

<?php
// セッションを開始
session_start();

// セッションIDを再生成（古いセッションを破棄）
session_regenerate_id(true);

// ここに続けて処理を書く
?>

session_regenerate_id(true)のtrue引数は、古いセッションデータを削除するために使用されます。これにより、セッションデータのリークを防ぐことができます。

セッションID再生成のタイミング

セッションIDの再生成を行うタイミングには注意が必要です。以下のような場面で再生成を行うのが一般的です。

• ログイン成功時：ユーザーの認証後にセッションIDを再生成することで、セッション固定攻撃のリスクを低減します。
• 権限変更時：ユーザーのアクセス権が変更された際に再生成を行い、セッションの一貫性を保ちます。
• 一定の時間間隔ごと：長期間同じセッションIDを使用することを避けるため、定期的に再生成します。

再生成の失敗時の対処法

セッションIDの再生成が失敗した場合でも、エラーハンドリングを行い、適切な対策を講じる必要があります。session_regenerate_id()の戻り値をチェックして、再生成の成否を確認することが重要です。

セッションIDの再生成は、セキュリティの基本となる重要な操作であり、正しい方法で実施することでアプリケーションの安全性を大幅に向上させることができます。

再生成タイミングのベストプラクティス

セッションIDの再生成を行うタイミングを適切に選ぶことは、セッション管理のセキュリティを強化するために重要です。再生成のタイミングを誤ると、セッション固定攻撃やハイジャックのリスクが残る可能性があります。以下に、セッションIDを再生成するためのベストプラクティスを紹介します。

ログイン成功時

ユーザーがログインに成功した直後にセッションIDを再生成することが推奨されます。これにより、事前にセッションIDが攻撃者によって予測されていたり、共有されていた場合でも、新しいセッションIDを生成することでセッション固定攻撃を防止できます。

権限変更時

ユーザーの権限が変更される際には、セッションIDを再生成するのが望ましいです。例えば、ユーザーが管理者権限を取得した場合などに再生成を行うことで、新しい権限レベルに適したセッションを確立し、不正なセッションを防ぐことができます。

一定の時間間隔ごと

長期間にわたって同じセッションIDを使用することは、セッションハイジャックのリスクを高めます。そのため、一定の時間ごとに自動的にセッションIDを再生成することが推奨されます。例えば、30分ごとに再生成する設定にすることで、セッションIDの使い回しを防止できます。

アクティビティ後の再生成

ユーザーの重要な操作（例えば、パスワード変更や個人情報の更新など）を実行した後に、セッションIDを再生成することも有効です。これにより、操作後にセッションの安全性をさらに確保することができます。

再生成によるユーザーの混乱を防ぐ

セッションIDを頻繁に再生成することで、ユーザーが意図しないログアウトを経験することがあります。これを防ぐために、ユーザーのアクティビティを監視し、最適なタイミングで再生成を行うようにします。

再生成のタイミングを適切に選ぶことで、セキュリティを高めつつ、ユーザーの利便性を損なわずにセッション管理を実施することが可能です。

セッションハイジャック対策

セッションハイジャックは、攻撃者がユーザーのセッションIDを盗み取って不正にアクセスする攻撃手法です。このリスクを軽減するためには、セッションIDの管理を強化し、攻撃の機会を減らすことが重要です。ここでは、セッションハイジャックを防ぐための具体的な対策について説明します。

セッションIDの保護

セッションIDが第三者に漏洩しないよう、以下の方法でセッションIDの保護を強化します。

• HTTPSの使用：通信を暗号化することで、セッションIDがネットワーク上で盗まれるリスクを減らします。特に、ログインページや重要な操作を行うページでは、必ずHTTPSを有効にしましょう。
• セッションIDのクッキー設定を適切に行う：HttpOnly属性を付与することで、JavaScriptからのセッションIDの読み取りを防止し、Secure属性を付与してHTTPS経由でのみクッキーを送信するようにします。

セッションの有効期限設定

セッションの有効期限を短く設定し、ユーザーが一定時間操作を行わなかった場合は、自動的にセッションを終了させるようにします。これにより、放置されたセッションを悪用されるリスクを軽減できます。

// セッションのタイムアウト設定例
ini_set('session.gc_maxlifetime', 1800); // 30分
session_start();

// 最終アクティビティからの時間を確認
if (isset($_SESSION['last_activity']) && (time() - $_SESSION['last_activity'] > 1800)) {
    // 最終アクティビティから30分経過している場合、セッションを破棄
    session_unset();
    session_destroy();
} else {
    // アクティビティがあれば、最終アクティビティを更新
    $_SESSION['last_activity'] = time();
}

IPアドレスとユーザーエージェントの検証

セッションが開始されたときのIPアドレスやユーザーエージェントを記録し、その後のリクエストで一致するかどうかを検証することで、セッションハイジャックのリスクを低減できます。

// セッション開始時にIPアドレスとユーザーエージェントを記録
if (!isset($_SESSION['user_ip'])) {
    $_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
    $_SESSION['user_agent'] = $_SERVER['HTTP_USER_AGENT'];
}

// 現在のIPアドレスとユーザーエージェントをチェック
if ($_SESSION['user_ip'] !== $_SERVER['REMOTE_ADDR'] || $_SESSION['user_agent'] !== $_SERVER['HTTP_USER_AGENT']) {
    // 一致しない場合はセッションを終了
    session_unset();
    session_destroy();
}

多要素認証（MFA）の導入

セッションの保護をさらに強化するために、多要素認証を導入することが有効です。これにより、仮にセッションIDが盗まれたとしても、攻撃者は追加の認証手段を突破しなければなりません。

セッションハイジャック対策は多層的な防御を行うことで、攻撃を未然に防ぐことができます。適切な対策を講じることで、Webアプリケーションのセキュリティを大幅に向上させることが可能です。

トークンベースのCSRF対策

トークンベースのCSRF対策は、セッション固定攻撃を防止するために一般的に用いられる手法です。これは、セッションごとに発行される一意のトークンをリクエストに含めることで、リクエストの正当性を検証します。トークンを用いることで、攻撃者が正規のユーザーのリクエストを偽造することを防ぐことが可能です。

CSRFトークンの仕組み

CSRFトークンは、サーバーがセッションごとに生成するランダムな文字列で、フォーム送信やAjaxリクエストなどの状態変更を伴うリクエストに付与されます。サーバーはリクエスト時に送信されたトークンを検証し、一致すればリクエストを処理し、一致しなければリクエストを拒否します。

CSRFトークンの生成と検証

以下のコード例では、PHPでCSRFトークンを生成し、フォーム送信時にそのトークンを使用する方法を説明します。

1. CSRFトークンの生成
   セッション開始時に一意のトークンを生成し、セッション変数に保存します。

   // セッションを開始
   session_start();

   // CSRFトークンを生成
   if (empty($_SESSION['csrf_token'])) {
       $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
   }

2. フォームにCSRFトークンを埋め込む
   フォーム内に隠しフィールドとしてCSRFトークンを追加します。

   <form method="post" action="submit.php">
       <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>">
       <!-- 他のフォームフィールド -->
       <button type="submit">送信</button>
   </form>

3. CSRFトークンの検証
   フォームが送信されたときに、セッション内のトークンとリクエストに含まれるトークンを比較して、一致するかを確認します。

   // セッションを開始
   session_start();

   // トークンの検証
   if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
       die('不正なリクエストです。');
   }

   // 正常なリクエスト処理を続行

トークンのリフレッシュと再生成

セキュリティを高めるために、トークンは一定時間ごと、または重要な操作の後に再生成することが推奨されます。これにより、トークンが長期間有効な状態で保持されることを防ぎます。

トークンを使用する際のベストプラクティス

• すべての状態変更リクエストにトークンを付与する：フォーム送信だけでなく、Ajaxリクエストでもトークンを使用することで、広範なCSRF対策が可能です。
• トークンの長さと複雑さを確保する：random_bytes()関数などを使って十分に長く複雑なトークンを生成し、攻撃者がトークンを推測することを困難にします。
• トークンの有効期限を設定する：古いトークンを無効化することで、長期間使用されたトークンを悪用するリスクを減らします。

トークンベースのCSRF対策は、PHPで安全なWebアプリケーションを構築するための基本的な技術であり、適切に実装することでCSRF攻撃のリスクを大幅に減少させることができます。

セッションの安全な終了

セッションを安全に終了することは、Webアプリケーションのセキュリティを保つために重要です。セッションを適切に終了しないと、第三者による不正なアクセスやセッションハイジャックのリスクが増大します。ここでは、PHPにおけるセッションの安全な終了方法とその手順について説明します。

セッションデータの削除

セッションを終了する際には、セッションデータを完全に削除する必要があります。PHPでは、session_unset()を使ってセッション変数を全て削除し、session_destroy()を使用してセッションを破棄します。

// セッションを開始
session_start();

// セッション変数を全て削除
session_unset();

// セッションを破棄
session_destroy();

session_unset()はセッション変数のみを削除するのに対し、session_destroy()はセッション全体を無効化するため、両方を組み合わせることでセッションの終了を確実にします。

クッキーの削除

セッションを終了した後でも、ブラウザ側にセッションIDを保持しているクッキーが残っている場合があります。これを削除することで、再度アクセスされた際に古いセッションIDが使用されることを防ぎます。

// クッキーの削除
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

クッキーの有効期限を過去に設定することで、クッキーを削除します。session_get_cookie_params()を使用して元のパラメータを取得し、setcookie()関数で同じパラメータを用いることで、セッションに関連するクッキーを確実に削除できます。

セッションのタイムアウト設定

セッションの安全性を高めるためには、一定時間操作がない場合にセッションを自動的に終了するタイムアウトを設定することが推奨されます。以下のように、セッションの最終アクティビティを追跡し、一定時間を過ぎた場合にセッションを破棄します。

// セッション開始
session_start();

// タイムアウトの設定（例：30分）
$timeout = 1800;

// 最終アクティビティの時間を確認
if (isset($_SESSION['last_activity']) && (time() - $_SESSION['last_activity'] > $timeout)) {
    // タイムアウトの場合、セッションを削除
    session_unset();
    session_destroy();
} else {
    // アクティビティがある場合、タイムスタンプを更新
    $_SESSION['last_activity'] = time();
}

セッション終了時のリダイレクト

セッションが終了した後、ユーザーをログインページやエラーページにリダイレクトすることが望ましいです。これにより、ユーザーにセッションが終了したことを明示的に伝え、不正な操作を防ぐことができます。

// セッションを終了してからリダイレクト
session_unset();
session_destroy();
header("Location: login.php");
exit();

セッションの終了手順を自動化する

セッション終了の手順を定期的に自動化することで、セッションハイジャックのリスクをさらに軽減できます。例えば、定期的なクリーンアップタスクを設定し、古いセッションデータを自動的に削除することが有効です。

セッションを安全に終了することで、ユーザーのセキュリティを保護し、不正アクセスのリスクを最小限に抑えることができます。適切な終了手順を実施し、セッション管理を徹底しましょう。

PHPフレームワークでのセキュリティ機能

主要なPHPフレームワークには、セキュリティを強化するための組み込み機能が用意されています。これらのフレームワークを利用することで、セッション管理やCSRF対策などのセキュリティ機能を簡単に実装することができます。ここでは、LaravelやSymfonyなどの人気PHPフレームワークにおけるセキュリティ機能とその活用方法について説明します。

Laravelでのセキュリティ機能

Laravelは、PHPフレームワークの中でも特にセキュリティ機能が充実しています。以下のような機能が標準で提供されています。

CSRF対策

Laravelは、デフォルトでCSRFトークンを生成し、フォームに付与する仕組みを持っています。Bladeテンプレートエンジンを使ってフォームを作成する際、@csrfディレクティブを使用するだけでトークンが自動的に挿入されます。

<form action="/submit" method="POST">
    @csrf
    <!-- 他のフォームフィールド -->
    <button type="submit">送信</button>
</form>

また、CSRFトークンの検証はLaravelのミドルウェアによって自動的に行われ、不正なリクエストはブロックされます。

セッション管理

Laravelのセッション管理は、セッションデータのストレージオプション（ファイル、データベース、キャッシュなど）を選択することで柔軟に設定できます。また、セッションIDの再生成を簡単に行うためのメソッドが用意されており、次のように記述できます。

// セッションIDの再生成
request()->session()->regenerate();

Symfonyでのセキュリティ機能

Symfonyは、セキュリティを重視した設計を持つフレームワークで、様々なセキュリティ機能が組み込まれています。

CSRF対策

Symfonyには、CSRFトークンの生成と検証を行うためのCsrfTokenManagerというサービスが組み込まれています。フォームビルダーでCSRFトークンを自動的に処理する設定を有効にすることが可能です。

// フォームビルダーにCSRFプロテクションを追加
$form = $this->createFormBuilder()
    ->add('name', TextType::class)
    ->add('submit', SubmitType::class)
    ->getForm();

Symfonyでは、フォーム送信時に自動的にCSRFトークンが検証され、不正なリクエストが拒否されます。

セッション管理とセッションストレージ

Symfonyのセッション管理は、強力なセッションストレージ機能を提供し、ユーザーセッションを安全に管理できます。セッションIDの再生成は次のように行えます。

// セッションIDの再生成
$request->getSession()->migrate();

このメソッドは、新しいセッションIDを生成し、古いセッションデータを新しいセッションに移行します。

CodeIgniterでのセキュリティ機能

CodeIgniterもシンプルな構造でありながら、基本的なセキュリティ機能を備えたフレームワークです。

CSRF対策

CodeIgniterには、CSRFプロテクションがデフォルトで組み込まれており、config.phpで有効化することで使用可能です。

// config.phpでの設定例
$config['csrf_protection'] = TRUE;

CSRFトークンはフォームに自動的に付与され、リクエスト時に検証が行われます。

セッションのセキュリティ設定

CodeIgniterのセッション設定では、クッキーの暗号化やHttpOnly属性の設定などを行うことができ、セキュリティを高めることができます。

フレームワークごとのセキュリティ機能の活用

PHPフレームワークには、それぞれの特性に応じたセキュリティ機能が用意されています。フレームワークの標準機能を活用することで、セキュリティ対策を効率的に実装し、脆弱性のリスクを軽減することが可能です。適切にセキュリティ機能を活用し、フレームワークのベストプラクティスに従ってWebアプリケーションの安全性を確保しましょう。

実際のコード例と応用

ここでは、PHPでセッションIDの安全な再生成やCSRF対策を実装する具体的なコード例を紹介します。これらの例を通して、実践的なセキュリティ対策を学び、アプリケーションの安全性を強化する方法を説明します。

セッションIDの再生成の実装例

セッションIDを安全に再生成する基本的な手順は、ログイン成功時や権限変更時にsession_regenerate_id()関数を使うことです。以下の例は、ログイン時にセッションIDを再生成するコードです。

<?php
// セッションを開始
session_start();

// ユーザーの認証処理（例: ユーザー名とパスワードをチェック）
if (isset($_POST['username']) && isset($_POST['password'])) {
    // 認証が成功した場合
    if (authenticate($_POST['username'], $_POST['password'])) {
        // セッションIDを再生成してセキュリティを向上
        session_regenerate_id(true);

        // ユーザー情報をセッションに保存
        $_SESSION['username'] = $_POST['username'];
        $_SESSION['authenticated'] = true;

        echo "ログインに成功しました。";
    } else {
        echo "ユーザー名またはパスワードが間違っています。";
    }
}

// 認証関数（ダミー実装）
function authenticate($username, $password) {
    // ユーザー名とパスワードの確認処理を実装
    return $username === "admin" && $password === "password123";
}
?>

このコードでは、ユーザーの認証が成功した場合にsession_regenerate_id(true)を呼び出し、セッションIDを再生成することでセキュリティを高めています。

トークンを使ったCSRF対策の実装例

トークンを使ったCSRF対策の基本は、サーバー側で生成したトークンをフォームに付与し、リクエスト時にそのトークンを検証することです。以下は、CSRFトークンの生成と検証の例です。

1. CSRFトークンの生成とセッションへの保存

   <?php
   // セッションを開始
   session_start();

   // CSRFトークンを生成し、セッションに保存
   if (empty($_SESSION['csrf_token'])) {
       $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
   }
   ?>

2. フォームにトークンを埋め込む フォームのHTMLに隠しフィールドとしてトークンを追加します。

   <form action="submit.php" method="POST">
       <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>">
       <!-- 他のフォームフィールド -->
       <button type="submit">送信</button>
   </form>

3. リクエスト時のトークン検証 フォームが送信されたときに、送信されたトークンがセッションに保存されたトークンと一致するかを確認します。

   <?php
   // セッションを開始
   session_start();

   // CSRFトークンの検証
   if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
       die('CSRFトークンが無効です。リクエストは拒否されました。');
   }

   // 正常なリクエスト処理を続行
   echo "フォーム送信が成功しました。";
   ?>

セッションとCSRF対策を組み合わせた実践例

以下の例では、セッションIDの再生成とCSRFトークンを組み合わせて、より安全なフォーム処理を実現します。

<?php
// セッションを開始
session_start();

// ログイン後の処理でセッションIDを再生成
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['login'])) {
    // ユーザー認証の成功
    if (authenticate($_POST['username'], $_POST['password'])) {
        // セッションIDを再生成
        session_regenerate_id(true);

        // CSRFトークンを生成
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

        // ログイン状態の設定
        $_SESSION['authenticated'] = true;
        echo "ログインに成功しました。";
    } else {
        echo "認証に失敗しました。";
    }
}

// フォーム送信時のCSRFトークン検証
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['submit'])) {
    if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
        die('不正なリクエストです。');
    }
    echo "データ送信が成功しました。";
}

// 認証関数（ダミー）
function authenticate($username, $password) {
    return $username === 'admin' && $password === 'password123';
}
?>

この例では、ログイン時にセッションIDを再生成し、CSRFトークンを生成しています。フォーム送信時には、CSRFトークンを検証することでセキュリティを確保しています。

セキュリティ対策を組み合わせることで、PHPアプリケーションの安全性を大幅に向上させることができます。

まとめ

本記事では、PHPでの安全なセッションIDの再生成とCSRF対策について、具体的な手法や実装例を交えて解説しました。セッションハイジャックやセッション固定攻撃を防ぐためのセッションID再生成、トークンを用いたCSRF防止策、さらに主要なPHPフレームワークにおけるセキュリティ機能の活用方法について説明しました。

適切なセッション管理とCSRF対策を実施することで、Webアプリケーションのセキュリティを強化し、攻撃からユーザーを守ることが可能です。ベストプラクティスに従って実装し、安全なアプリケーションを構築しましょう。