情報処理推進機構(IPA)は11月1日,安全なWebサイトを構築・運用するためのポイントをまとめたドキュメント「安全なウェブサイトの作り方」の改訂版(改訂第2版)を公開した。改訂版ではクロスサイト・リクエスト・フォージェリ(CSRF)の解説などを追加した。
同ドキュメントの第1版は2006年1月末に公開された。ドキュメントでは,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。
改訂版では,第1版で取り上げた「SQLインジェクション」「OSコマンド・インジェクション」「ディレクトリ・トラバーサル」「セッション管理の不備」「クロスサイト・スクリプティング」「メールの第三者中継」に加えて,「CSRF(Cross-Site Request Forgeries)」と「HTTPヘッダー・インジェクション」についても解説している。これら8件はWebサイトで見つかる主な脆弱性であり,IPAに寄せられる届け出件数のおよそ9割が,これらの脆弱性に関するものだという。
また,第1版と同様に,「ウェブサイトの安全性向上のための取り組み」と題して,Webサイトの適切な運用方法や設定方法を紹介している。具体的には,脆弱性の修正やユーザー認証,DNSサーバーの設定や通信の暗号化,パスワード管理,フィッシング詐欺を助長しないようなサイト作りについて解説している。
さらに改訂版では,前述の8件の脆弱性の対応状況を確認するためのチェック・リストを追加した。
ドキュメントはPDFファイルで全48ページ。図表を盛り込んで分かりやすい内容となっているので,Webサイトの開発者や管理者は一読することをお勧めしたい。
・IPAの情報
・ニュースリリース(PDFファイル,54kバイト)
・「安全なウェブサイトの作り方」の改訂版(PDFファイル,1.2Mバイト)
