ITエンジニアのための「パス」完全ガイド:ファイルパス・環境変数PATH・URLパスの違いとセキュリティ対策
エバープレイ編集部はじめに
「パス(path)」はIT分野で頻繁に登場する用語ですが、文脈によって意味や扱い方が微妙に異なります。本コラムではファイルシステムのパス、環境変数のPATH、URLやルーティングにおけるパスなど、代表的な「パス」の概念を整理し、それぞれの実装上の注意点やセキュリティ面での落とし穴、実務でのベストプラクティスまで深掘りします。
ファイルパスの基本
ファイルパスはファイルやディレクトリの位置を示す文字列です。主に「絶対パス」と「相対パス」に分かれます。
- 絶対パス:ルート(例:/ や C:\)から始まる完全な経路。常に同じ場所を指す。
- 相対パス:カレントディレクトリ(作業ディレクトリ)を基準にした経路。使う場面により指す先が変わる。
一般的な特殊要素:
- 「.」はカレントディレクトリを示す
- 「..」は親ディレクトリを示す(パスの上方移動)
- シンボリックリンク(symlink):別の場所を参照するファイルシステムオブジェクト。解決(実体追跡)するかどうかで扱いが変わる
プラットフォーム差:区切り文字や命名規則
OSやファイルシステムによってパスの書式や制約が異なります。代表例:
- UNIX系(Linux、macOS): 区切り文字は「/」。ルートは「/」。ファイル名は通常大文字/小文字を区別。
- Windows: 区切りはバックスラッシュ「\\」が伝統だが、スラッシュ「/」も多くのAPIで扱える。ドライブレター(例:C:\)やUNCパス(\\server\share\path)がある。既定では大文字/小文字を区別しないファイルシステムが多い。
長さの制限:
- POSIX系では多くの環境でパス名長(PATH_MAX)は4096、ファイル名コンポーネントの最大(NAME_MAX)は255が一般的(環境に依存)。
- Windowsでは従来 MAX_PATH = 260 の制約があったが、近年は長いパス(最大 32,767 文字、先頭に \\?\ プレフィックス)をサポートする方法がある(アプリケーションやAPIの対応が必要)。
パスの正規化と解決
プログラム上でパスを扱う際は「正規化(normalize)」や「解決(resolve/realpath)」が重要です。
- 正規化:連続する区切りの削除、. や .. の処理、不要な末尾の区切り削除などを行い一貫した表現にする。例:/a/b/../c → /a/c。
- 実体解決(canonicalization / realpath):シンボリックリンクや相対要素をすべて解決して実体となる絶対パスを得る。OSのAPI(realpath、Path.toRealPath() 等)を利用する。
言語ごとの代表的な関数/ライブラリ:
- Python: os.path.join, os.path.abspath, os.path.realpath, pathlib.Path
- Node.js: path.join, path.resolve, fs.realpath
- Java: java.nio.file.Path / Paths.get, Path.normalize(), Path.toRealPath()
- Go: path/filepath.Join, filepath.Clean, filepath.Abs
PATH(環境変数)について
大文字の「PATH」はシェルやOSが実行可能ファイルを検索するときに参照する環境変数です。Unix系ではコロン「:」区切り、Windowsではセミコロン「;」区切りでディレクトリリストを保持します。
- コマンド実行時、シェルはPATHの各ディレクトリを上から順に検索して最初に見つかった実行ファイルを起動する。
- セキュリティ上の注意点:PATHの順序やエントリにより想定外のプログラムが実行されることがあり得る(例:./ が先頭にあるとカレントディレクトリの悪意あるバイナリを実行してしまう)。管理用途のスクリプトではフルパス指定や限定的なPATHの設定が推奨される。
URLパスとWebルーティング
HTTP/URLにおける「パス」はリソースの位置を指す部分(例:https://example.com/path/to/resource)。ここでもパスセグメント、スラッシュ、エンコーディング(%20など)といった概念が重要です。
- RFC 3986 によるURI構文:パスはセグメントで構成され、パーセントエンコーディングが必要な文字が含まれることがある。
- サーバ側ではルーティングがパスを解析してハンドラに振り分ける。フレームワークごとに末尾スラッシュの扱いやパラメータ化のルールが異なる。
- Webアプリでユーザ入力をファイルパスに直結させるとパストラバーサルの脆弱性が発生する(../ を利用して上位ディレクトリのファイルへアクセスする攻撃)。
セキュリティの落とし穴:パストラバーサルとインジェクション
代表的な脆弱性と対策:
- パストラバーサル(Directory Traversal): 外部入力をそのままパス連結に使うと、../ 等で想定外のファイルへアクセスされる。対策としては入力検証、正規化後にベースディレクトリに包含されるか確認、または実体解決(realpath)して検査する。
- シンボリックリンク攻撃:一時ファイルやアップロード処理でシンボリックリンクを突かれないように注意。必要ならばリンクの追跡を避けるか、適切な権限設定を行う。
- PATH の悪用:PATH に不正なディレクトリが挿入されると、攻撃者が同名の実行ファイルを用意して誤起動させることがある。重要な処理ではフルパス指定か、安全なPATHを明示的に設定する。
実装上の注意とベストプラクティス
現場で役立つ実践的なポイント:
- 文字列連結でパスを作らない:必ず言語標準のパス結合API(join, Path オブジェクト等)を使う。セパレータの違い、二重セパレータの問題を避けられる。
- 入力は正規化して検証する:ユーザ提供のパスはまず正規化(normalize/clean)し、ベースディレクトリの下に収まるかを確認する。
- 実行ファイルはフルパスで呼ぶ:スクリプトやサービスから外部コマンドを呼ぶ場合はフルパス指定や信頼できるPATHを設定する。
- 長さや文字コードを考慮する:Windows と POSIX の差、UTF-8/UTF-16 の違い、長いパスの扱いに注意する。
- 一時ファイルは安全なAPIを使う:mkstemp や tempfile ライブラリを使い競合や予測可能性を避ける。
- ログには生のユーザパスを書かない:ディレクトリ名やファイル名に機密情報が含まれることがあるため過度な露出を避ける。
実例(短いコード例)
Python の例:
from pathlib import Path
base = Path("/var/www/uploads").resolve()
user_path = (base / user_input).resolve()
if not str(user_path).startswith(str(base) + "/"):
raise ValueError("不正なパス")
# 安全にファイルを扱う
Node.js の例:
const path = require('path');
const base = path.resolve('/var/www/uploads');
const userPath = path.resolve(base, userInput);
if (!userPath.startsWith(base + path.sep)) {
throw new Error('不正なパス');
}
まとめ
「パス」は一見シンプルに見えて、OSや言語、用途ごとに細かな違いが多く、セキュリティや可搬性に直接影響します。ポイントは「プラットフォームの差を理解する」「文字列操作で済ませず標準APIを使う」「入力は正規化して検証する」「実行時には信頼できるパスを使う」ことです。これらを守ることで、パス関連のトラブルや脆弱性の多くを回避できます。
参考文献
- RFC 3986 — Uniform Resource Identifier (URI): Generic Syntax
- OWASP — Path Traversal
- Python ドキュメント — os.path
- Node.js — path モジュール
- Microsoft — Naming Files, Paths, and Namespaces(Windows ファイル命名規則 / MAX_PATH 等)
- man7.org — PATH and NAME limits on Linux
- Java — java.nio.file.Path
投稿者プロフィール
