IPA、サイト脆弱性対策のチェックポイントを公開

[ITmedia]

　情報処理推進機構（IPA）は6月23日、Webサイトの脆弱性を悪用した情報漏洩やページ改ざん被害の頻発を受け、対策チェックポイントリストをWebサイトで公開した。Webアプリケーション、Webサーバ、ネットワークそれぞれでセキュリティ対策が必要と呼びかけている。

　チェックポイントはWebアプリケーションが5点、Webサーバが7点、ネットワークが2点の計14点で、詳細は以下の通り。

Webアプリケーション

（1）攻撃の参考となる不要なエラーメッセージを返していないか

（2）公開すべきでないファイルを公開していないか

（3）ユーザからの入力値をチェックし、OSやデータベースへの命令文として実行してしまわないよう無害化しているか

（4）管理者権限など不要に高い権限でWebアプリケーションを運用していないか

（5）ログを記録しているか

Webサーバ

（1）見慣れないファイルやプログラムが置かれていないか、（2）サーバやミドルウェアなどに修正プログラムを適用しているか

（3）余分なサービスを立ち上げていないか

（4）不要なアカウントはないか

（5）パスワードが推測可能でないか

（6）ファイル、ディレクトリへの適切なアクセス制御をしているか

（7）ログを記録しているか

ネットワーク

（1）ルータ機器を使って不要な通信を遮断しているか

（2）ファイアウォールで通信を適切にフィルタリングしているか