情報処理推進機構セキュリティセンターは7月22日、「安全なウェブサイトの作り方」を公開した。

「安全なウェブサイトの作り方」は、IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成するための資料。

この資料は、以下のような構成となっている。

・第1章では「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティングなど11種類の脆弱性を取り上げ、それぞれ発生しうる脅威や注意が必要なWebサイトの特徴などを解説し、脆弱性の原因をなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示している。

・第2章では、「ウェブサイトの安全性向上のための取り組み」として、Webサーバの運用に関する対策やWebサイトにおけるパスワードの取り扱いに関する対策などを取り上げ、主に運用面からWebサイト全体の安全性を向上させる方策を示している。

・第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から8種類を取り上げ、Webアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示している。

・巻末には、Webアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストが付属している。

「安全なウェブサイトの作り方」は、Webサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス