過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開

小山安博

2010-01-20 20:06

 情報処理推進機構(IPA)は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。

 同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。

 改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類の脆弱性に関する失敗例を追加。従来の「SQLインジェクション」「クロスサイトスクリプティング」に関する失敗例に加えて、サイト作成で起こりがちな失敗を例示している。

 さらにWAF(Web Application Firewall)の動作原理、その利用が有効な状況、導入検討における留意点が追加され、WAFの活用に向けた情報を充実させている。

 第1章では、ウェブアプリのセキュリティ実装に関して9種類の脆弱性を取り上げ、その解決策などを提示するほか、第2章ではサーバのセキュリティ対策、フィッシング詐欺を助長しないための対策などの運用面の情報を、第3章では失敗例と解説、修正例をそれぞれ提示。巻末にはウェブアプリのセキュリティ実装の実施状況を確認するためのチェックリストも付属する。

 同資料は2006年1月に第1版が公開され、130万件を超えるダウンロードを記録している。IPAでは、同資料を利用することで、ウェブサイトにおけるセキュリティ問題を解決する手助けとなることを期待しているという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]