[参考]
チェックポイントのリスト(概要)
■
ウェブアプリケーションのセキュリティ対策
(1)
不要なエラーメッセージを返していないか
攻撃者の参考となるような情報を与えないようにします。
(2) 公開すべきでないファイルを公開していないか
不要なファイルを削除し、公開すべきでないファイルは非公開の場所に保存します。
(3)
ユーザからの入力値をチェックして無害化しているか
入力された文字列から、OSやデータベースへの命令文として実行してしまわないように、
文字列の置換・除去を行ないます。
(4)
ウェブアプリケーションを不要に高い権限* で運用していないか *管理者権限等
(5)
ログを記録しているか
ログは原因を追究するために重要な情報源です。
■
ウェブサーバのセキュリティ対策
(6)
見慣れないファイルやプログラムが置かれていないか
(7) サーバ、ミドルウェアなどに修正プログラムが適用されているか
(8) 余分なサービスを立ち上げていないか
不要なサービスは停止させ、悪用される危険性を低減します。
(9)
不要なアカウントがないか
開発やテストに使用したアカウントなどの不要なアカウントは削除します。
(10)
パスワードが推測可能でないか
(11)
ファイル、ディレクトリへの適切なアクセス制御をしているか
(12)
ログを記録しているか
■
ネットワークのセキュリティ対策
(13)
ルータ機器を使用してネットワークの境界で不要な通信を遮断しているか
(14)
ファイアウォールを使用して、適切に通信をフィルタリングしているか
|
.gif){kind=small}
最新情報
