独立行政法人 情報処理推進機構(IPA)は6月23日,Webサイトに不正アクセスされないための緊急チェック・ポイント14項目を発表した。カカクコムやOZmallなど,Webサイトへの不正アクセスによる情報漏えいやページ改ざんなどが相次いでいることを受けたもの。

 また,IPAではWebサイトのセキュリティ・ホール発見者からの届出を受け付けているが,2004年7月から2005年5月までに227件が報告されるなど,セキュリティ・ホールを抱えるWebサイトはほかにも多数存在しているという(届出状況)。

 IPAが発表したチェック・ポイントは以下の通り。

■ Webアプリケーションのセキュリティ対策

(1) 不要なエラー・メッセージを返していないか

(2) 公開すべきでないファイルを公開していないか

(3) ユーザーからの入力値をチェックして無害化しているか

(4) Webアプリケーションを不要に高い権限で運用していないか

(5) ログを記録しているか

■ Webサーバーのセキュリティ対策

(6) 見慣れないファイルやプログラムが置かれていないか

(7) サーバー,ミドルウエアなどに修正プログラムが適用されているか

(8) 余分なサービスを立ち上げていないか

(9) 不要なアカウントがないか

(10) パスワードが推測可能でないか

(11) ファイル,ディレクトリへの適切なアクセス制御をしているか

(12) ログを記録しているか

■ ネットワークのセキュリティ対策

(13) ルーター機器を使用してネットワークの境界で不要な通信を遮断しているか

(14) ファイアウォールを使用して,適切に通信をフィルタリングしているか

 各チェック・ポイントの詳細はIPAのサイトで公開している。

(高橋 信頼=IT Pro)