情報処理推進機構(IPA)は1月31日,安全なWebサイトを構築および運用するためのポイントをまとめた文書「安全なウェブサイトの作り方」を公開した。同文書には,SQLインジェクションなどに悪用されるセキュリティ・ホール(脆弱性)を作りこまない方法や,サイトの安全性を向上する運用ならびに設定方法などが記されている。
同文書では,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。具体的には,「SQLインジェクション」「OSコマンド・インジェクション」「クロスサイト・スクリプティング」「セッション管理の不備」「ディレクトリ・トラバーサル」「メールの第三者中継」---を取り上げている。
また,「ウェブサイトの安全性向上のための取り組み」と題して,Webサイトの適切な運用方法や設定方法を紹介している。具体的には,脆弱性の修正や適切なユーザー認証の実施,DNSサーバーの適切な設定や通信の暗号化,パスワード管理などについて説明している。加えて,フィッシング詐欺を助長しないようなサイト作りについても解説している。
文書はPDFファイルで,分量は27ページ。分かりやすくまとめられているので,Webサイトの開発者ばかりではなく,運営者も目を通しておきたい。
◎参考資料
◆「安全なウェブサイトの作り方」の発行について
◆安全なウェブサイトの作り方
◆安全なウェブサイトの作り方(PDFファイル)
