情報処理推進機構(IPA)は6月23日、Webサイトの脆弱性を悪用した情報漏洩やページ改ざん被害の頻発を受け、対策チェックポイントリストをWebサイトで公開した。Webアプリケーション、Webサーバ、ネットワークそれぞれでセキュリティ対策が必要と呼びかけている。
チェックポイントはWebアプリケーションが5点、Webサーバが7点、ネットワークが2点の計14点で、詳細は以下の通り。
Webアプリケーション
(1)攻撃の参考となる不要なエラーメッセージを返していないか
(2)公開すべきでないファイルを公開していないか
(3)ユーザからの入力値をチェックし、OSやデータベースへの命令文として実行してしまわないよう無害化しているか
(4)管理者権限など不要に高い権限でWebアプリケーションを運用していないか
(5)ログを記録しているか
Webサーバ
(1)見慣れないファイルやプログラムが置かれていないか、(2)サーバやミドルウェアなどに修正プログラムを適用しているか
(3)余分なサービスを立ち上げていないか
(4)不要なアカウントはないか
(5)パスワードが推測可能でないか
(6)ファイル、ディレクトリへの適切なアクセス制御をしているか
(7)ログを記録しているか
ネットワーク
(1)ルータ機器を使って不要な通信を遮断しているか
(2)ファイアウォールで通信を適切にフィルタリングしているか
関連記事
- 「失敗」に学べるか? 不正アクセス事件から浮かび上がる教訓
5月中旬以降、複数のWebサイトが不正アクセスを受けてWebページを改ざんされるという事件が発生した。ここからわれわれはどんな教訓を導き出せるだろうか。 - Webアプリの脆弱性はほぼすべてのWebサイトに存在、ラックがレポート公開
ラックのセキュリティ研究所は、Webアプリケーションの脆弱性の現状についてまとめた「ホームページからの情報漏洩に対する脅威の現状」と題するレポートを公開した。 - 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明
価格.comが不正侵入を受けて一時閉鎖された問題で、運営元はシステムをまるごと入れ替えてセキュリティを強化し、1週間後をめどに再開する方針だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.