独立行政法人 情報処理推進機構(IPA)は6月23日,Webサイトに不正アクセスされないための緊急チェック・ポイント14項目を発表した。カカクコムやOZmallなど,Webサイトへの不正アクセスによる情報漏えいやページ改ざんなどが相次いでいることを受けたもの。
また,IPAではWebサイトのセキュリティ・ホール発見者からの届出を受け付けているが,2004年7月から2005年5月までに227件が報告されるなど,セキュリティ・ホールを抱えるWebサイトはほかにも多数存在しているという(届出状況)。
IPAが発表したチェック・ポイントは以下の通り。
■ Webアプリケーションのセキュリティ対策
(1) 不要なエラー・メッセージを返していないか
(2) 公開すべきでないファイルを公開していないか
(3) ユーザーからの入力値をチェックして無害化しているか
(4) Webアプリケーションを不要に高い権限で運用していないか
(5) ログを記録しているか
■ Webサーバーのセキュリティ対策
(6) 見慣れないファイルやプログラムが置かれていないか
(7) サーバー,ミドルウエアなどに修正プログラムが適用されているか
(8) 余分なサービスを立ち上げていないか
(9) 不要なアカウントがないか
(10) パスワードが推測可能でないか
(11) ファイル,ディレクトリへの適切なアクセス制御をしているか
(12) ログを記録しているか
■ ネットワークのセキュリティ対策
(13) ルーター機器を使用してネットワークの境界で不要な通信を遮断しているか
(14) ファイアウォールを使用して,適切に通信をフィルタリングしているか
各チェック・ポイントの詳細はIPAのサイトで公開している。