過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開

小山安博

2010-01-20 20:06

 情報処理推進機構(IPA)は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。

 同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。

 改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類の脆弱性に関する失敗例を追加。従来の「SQLインジェクション」「クロスサイトスクリプティング」に関する失敗例に加えて、サイト作成で起こりがちな失敗を例示している。

 さらにWAF(Web Application Firewall)の動作原理、その利用が有効な状況、導入検討における留意点が追加され、WAFの活用に向けた情報を充実させている。

 第1章では、ウェブアプリのセキュリティ実装に関して9種類の脆弱性を取り上げ、その解決策などを提示するほか、第2章ではサーバのセキュリティ対策、フィッシング詐欺を助長しないための対策などの運用面の情報を、第3章では失敗例と解説、修正例をそれぞれ提示。巻末にはウェブアプリのセキュリティ実装の実施状況を確認するためのチェックリストも付属する。

 同資料は2006年1月に第1版が公開され、130万件を超えるダウンロードを記録している。IPAでは、同資料を利用することで、ウェブサイトにおけるセキュリティ問題を解決する手助けとなることを期待しているという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]