top of page
IMG_0546.JPG

Googleが進める「高保証Webフレームワーク」とは?:2025/02/13

  • 執筆者の写真: 晋次 宮田
    晋次 宮田
  • 2025年2月13日
  • 読了時間: 5分

~社内限定のフレームワークが目指す“脆弱性ほぼゼロ”の世界~


Googleが運営するバグ報奨金プログラム(VRP: Vulnerability Rewards Program)の公式ブログで、Secure by Design: Google’s Blueprint for a High-Assurance Web Framework という記事が公開されました。

これは、いまだ多くのWeb開発現場で問題となるクロスサイトスクリプティング(XSS)クロスサイトリクエストフォージェリ(CSRF/XSRF)をほぼ根絶しようという試みを詳細に紹介したものになります。

同記事を読むと、Google社内では“高保証(High-Assurance)のWebフレームワーク”を活用することで、これらの脆弱性を大幅に削減していると書かれています。

ただ、フレームワークの名称や外部への提供計画などは公開されていません。まだ謎ですが、興味がそそられる内容です。



1. 「高保証Webフレームワーク」とは?


安全デフォルトと多層防御


Googleが運用している「高保証Webフレームワーク」は、アプリケーション開発者が個別にセキュリティ対策を意識しなくても、初期設定で安全性が高くなるよう設計されているとのこと。

具体的には、以下のような機能をデフォルトで有効にすることで、脆弱性を根本から防ぐ仕組みを整えている点が特徴です。

  • HTTPレスポンスヘッダでのセキュリティ強化

    • Strict CSP、Trusted Types、Secure/SameSiteクッキー、HSTSなどを自動的に適用

  • テンプレートエンジンによるHTML出力の自動エスケープ

  • JavaScript/TypeScriptの安全ガイドライン

    • コンパイル時のコード解析や、危険APIのブロック(JS/TS Conformance)

  • 幅広い攻撃手法への多層防御

    • プロトタイプ汚染やサプライチェーン攻撃など、最新の攻撃手法にも対策

ここでは特に、XSS防御としてテンプレートエンジンの自動エスケープCSP/Trusted Typesによる実行時制限、さらにコンパイル時のコードチェックが重層的に機能し、XSSが成立しにくい体制を構築していると述べられています。



2. フレームワーク名は非公開


今回の公式ブログ記事で紹介されたフレームワークは、Google社内でのみ運用されており、固有名や提供予定は公表されていません

ブログ内の説明から推測すると、Google独自のビルド環境(モノリポ、Bazelなど)やデプロイパイプラインと統合されているらしく、セキュリティ設定の自動化やログ収集なども一元的に管理できるようになっています。

一方で、外部への一般公開やオープンソース化については、「今後、何らかの形でオープンソースコミュニティにも貢献したい」 というコメントがある程度で、具体的な計画や時期は示されていません。



3. 驚くべき実績:年間XSS報告は1件程度


このフレームワークを導入している数百もの社内サービスに対して、合計でも年間1件程度しかXSS脆弱性が報告されていないというデータが記事中で紹介されました。

XSS脆弱性は古典的ではあるものの、診断しているとやはりまだ出てきます。どの様な診断をしたのかはわかりませんが、数百の中で1件であれば、肌感ですが、凄い数字だと思います。

なので、これはGoogle内部の数字であり、外部から厳密に検証されたわけではないです。しかし、少なくとも「フレームワーク主導の安全設計」が大きな成功を収めていことは確かだと思います。



4. 対応する言語やスタック


ブログ記事では、特にJavaScript/TypeScriptへの対応が詳しく説明されています。JS/TS ConformanceやTrusted Typesなどによって、DOMを用いた潜在的に危険な操作を強力に制限している点が目玉です。

一方、バックエンドについては言及が少ないものの、Google社内で利用されている各種言語(Java、Goなど)にも適用される仕組みが整っていると推測できます。サーバーサイドでは、Secure/SameSite属性クッキーによるCSRF防止などをデフォルトで有効化しているようです。



5. 今後の展望


この記事では、Googleがこのフレームワークを社内だけで完結させず、オープンソースコミュニティにも広げたいという意向が示されています。もし一般公開されれば、XSSやCSRFといった古典的な脆弱性に対処するうえで、「フレームワーク側で統合的に解決する」というモデルがWeb開発全体に広がるかもしれません。

現状でもCSRF対策はLaravelやRailsといったフレームワークでも実装されており、デフォルトでONになっていたりしますが、診断している側からすると完全とは言えない状況です。

とりあえず、現時点で具体的な公開時期や方法はわかっていないので、続報はチェックしていきたい思います。



まとめ


  1. Google社内専用の高保証Webフレームワーク

    • 固有名や外部提供の計画は公表されていない

  2. デフォルトで安全を実現

    • テンプレートエンジンの自動エスケープ、CSP/Trusted Types、クッキーの属性設定などをフレームワークが一括管理

  3. 多層防御によりXSSをほぼ排除

    • テンプレートエンジン+CSP+JS/TSコンファーマンスチェックで重層防御

  4. 数百のサービスで導入しながらXSS報告は年間1件程度

    • Google内部統計だが、同社のアプリケーションの安全性向上に大いに寄与

  5. 将来のオープンソース化に期待

    • 外部開発者やコミュニティへ公開されれば、Webの脆弱性対策がさらに進展する可能性がある



なんとなく


今後、もしこのフレームワークが一般公開やオープンソース化されれば、Webアプリケーション開発の在り方に影響があるかもしれません。古典的脆弱性に悩まされることなく、開発者がビジネスロジックやユーザー体験の向上に専念できる日が来るとよいなぁと思っていたりします。

 
 
bottom of page