IPA/ISEC(独立行政法人 情報処理推進機構 セキュリティセンター)は3月6日、「安全なウェブサイトの作り方 改訂第3版」を公開した。ウェブサイトの開発者や運営者がセキュリティを考慮して実装できるようにすることを目的とした資料で、無償でダウンロードできる。
「安全なウェブサイトの作り方」では、IPAが届出を受けた脆弱性関連情報をもとに、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げている。改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイトスクリプティングの脆弱性に関して、具体的な8つの「失敗例」を第3章として追加した。
また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策を新たな節として追加。この資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅している。
このほか、「ウェブアプリケーションのセキュリティ実装」としてSQLインジェクションなど9つの項目を取り上げ、それぞれの脆弱性で発生しうる脅威や注意が必要なウェブサイトなどを解説。主に開発面から脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる保険的な対策を示した。
第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバーのセキュリティ対策やフィッシング詐欺を助長しないための対策など5つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させる対策を示している。
第3章では、「失敗例」としてSQLインジェクションとクロスサイトスクリプティングの脆弱性を取り上げ、問題のあったウェブアプリケーションの実装、問題のコードの具体例、解説、修正例を示している。巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストを付与した。