情報処理推進機構(IPA)は6月23日、Webサイトの脆弱性を悪用した情報漏洩やページ改ざん被害の頻発を受け、対策チェックポイントリストをWebサイトで公開した。Webアプリケーション、Webサーバ、ネットワークそれぞれでセキュリティ対策が必要と呼びかけている。
チェックポイントはWebアプリケーションが5点、Webサーバが7点、ネットワークが2点の計14点で、詳細は以下の通り。
(1)攻撃の参考となる不要なエラーメッセージを返していないか
(2)公開すべきでないファイルを公開していないか
(3)ユーザからの入力値をチェックし、OSやデータベースへの命令文として実行してしまわないよう無害化しているか
(4)管理者権限など不要に高い権限でWebアプリケーションを運用していないか
(5)ログを記録しているか
(1)見慣れないファイルやプログラムが置かれていないか、(2)サーバやミドルウェアなどに修正プログラムを適用しているか
(3)余分なサービスを立ち上げていないか
(4)不要なアカウントはないか
(5)パスワードが推測可能でないか
(6)ファイル、ディレクトリへの適切なアクセス制御をしているか
(7)ログを記録しているか
(1)ルータ機器を使って不要な通信を遮断しているか
(2)ファイアウォールで通信を適切にフィルタリングしているか
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR