五月原清隆のブログハラスメント

これからは、セクハラでもない。パワハラでもない。ブロハラです。

Webサイトのセキュリティホールを塞ぐ14のチェックポイント

家電・IT

 IPA(情報処理推進機構)が、カカクコムやOZmallなどでの不正アクセス事件を受けて、セキュリティ対策のチェックポイント14項目を発表しました。

○ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

 このリリースによると、Webサイトにおいてチェックすべき項目は以下の通りです。

脆弱性対策のチェックポイント14項目

  1. ウェブアプリケーションのセキュリティ対策
    1. 公開すべきでないファイルを公開していないか?
    2. ユーザからの入力値をチェックして無害化していますか?
    3. 不要なエラーメッセージを返していないか?
    4. ウェブアプリケーションを不要に高い権限で運用していないか?
    5. ログを記録しているか?
  2. ウェブサーバのセキュリティ対策
    1. 見慣れないファイルやプログラムが置かれていないか?
    2. サーバ、ミドルウェアに修正プログラムが適用されているか?
    3. 余分なサービスを立ち上げていないか?
    4. 不要なアカウントがないか?
    5. パスワードが推測可能でないか?
    6. ファイル、ディレクトリへの適切なアクセス制御をしているか?
    7. ログを記録しているか?
  3. ネットワークのセキュリティ対策
    1. ルータ機器を使用してネットワークの境界で不要な通信を遮断しているか?
    2. ファイアウォールを使用して、適切に通信をフィルタリングしているか?

 基本的には、業務ユーザー向けのチェック項目ですが、個人用Webスペースを借りている人も注意すべき項目が幾つかあります。また、ネットワークのセキュリティ対策については、インターネットに接続するユーザー全てが共通に注意すべき事でもあります。まぁ、今時ルーター無しで常時接続しているユーザーなんか殆どいないとは思っていますけどね。