プレス発表
「安全なウェブサイトの作り方」のダウンロード件数が250万件を突破
〜安全なウェブサイト実現に向けたIPAの取組み〜
2010年12月21日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」のダウンロード件数が累計250万件を突破したことを発表します。
URL: http://www.ipa.go.jp/security/vuln/websecurity.html
概要
「安全なウェブサイトの作り方」は、脆弱性届出制度(*1)によってIPAに届出られた脆弱性情報を基に、ウェブサイトの開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための情報をまとめた資料です。攻撃による影響が大きい、または数多くのウェブサイトに存在している脆弱性を作り込まないよう、脆弱性の原因を根本から作らない方法について説明しています。また、脆弱性届出において実在した誤った対策例についての解説および修正例を示しています。
本資料は、2006年1月からIPAのウェブサイトで公開しており、このたびダウンロード件数が250万件を突破しました。特に第4版を公開した2010年度においては、休日を除く1日あたりに約5,000件のダウンロードがあり、企業の内部研修や開発現場等で広く活用されているものと考えられます(休日1日あたりでは約150件)。
ある大手セキュリティベンダーの調査レポート(*8)では、「.jp」ドメインの99.9%のウェブサイトが安全であり、国別ドメインで「.jp」が一番安全であると結論付けています。
IPAとしては、今後も「安全なウェブサイトの作り方」をはじめとした、安全なウェブサイトの実現に向けた取り組みを通じて、国内のウェブサイトの安全性が確保され、国民の安心・安全なインターネット環境が維持されることを期待します。
本資料は、2006年1月からIPAのウェブサイトで公開しており、このたびダウンロード件数が250万件を突破しました。特に第4版を公開した2010年度においては、休日を除く1日あたりに約5,000件のダウンロードがあり、企業の内部研修や開発現場等で広く活用されているものと考えられます(休日1日あたりでは約150件)。
「安全なウェブサイトの作り方」は下記の内容で構成しています。
第1章 ウェブアプリケーション(*2)のセキュリティ実装(実装面の考慮事項)
SQLインジェクション(*3)、OSコマンド・インジェクション(*4)、クロスサイト・スクリプティング(*5) など9種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴などを解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。
第2章 ウェブサイトの安全性の取組み(運用面の考慮事項)
ウェブサーバのセキュリティ対策、フィッシング詐欺(*6)を助長しないための対策、WAF (Web Application Firewall)(*7)によるウェブアプリケーションの保護など6つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。
第3章 失敗例(一般に陥りやすい失敗事例)
第1章で取り上げた脆弱性の中から6種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。
巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。
巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。
ある大手セキュリティベンダーの調査レポート(*8)では、「.jp」ドメインの99.9%のウェブサイトが安全であり、国別ドメインで「.jp」が一番安全であると結論付けています。
IPAとしては、今後も「安全なウェブサイトの作り方」をはじめとした、安全なウェブサイトの実現に向けた取り組みを通じて、国内のウェブサイトの安全性が確保され、国民の安心・安全なインターネット環境が維持されることを期待します。
脚注
(*1)IPA セキュリティセンターでは、経済産業省の告示に基づき、脆弱性情報に関する届出を受け付けています。届出方法、届出状況等に関する詳細は、下記を参照してください。
http://www.ipa.go.jp/security/vuln/report/index.html
(*3)データベースと連携したウェブアプリケーションに、問合わせ命令文の組み立て方法に問題があるとき、ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)しまうと、データベースを不正に操作されてしまう問題。
(*4)攻撃者から、基本ソフトウェア(OS)を操作するための命令(コマンド)を不正に埋め込まれた(インジェクション)要求を受け取ると、基本ソフトウェア(OS)を不正に操作されることが可能となってしまうという問題。
(*5)アンケート、掲示板、サイト内検索のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションにおいて、適切にセキュリティ対策がされていない場合、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページを表示してしまう問題。
(*6)巧妙な文面のメールなどを用い、実在する企業(金融機関、信販会社、ネットオークション等)のWebサイトを装った偽のサイトにユーザを誘導し、機密情報(クレジットカード番号、ID、パスワードなど)を盗み取る不正行為。
(*7)ウェブアプリケーションと利用者の間で交わされる通信を検査し、攻撃などの不正な通信を自動的に遮断するソフトウェア、もしくはハードウェア。
(*8)危険なWebサイトの世界分布 2010
http://www.mcafee.com/japan/security/MTMW_Report_2010.asp
プレスリリースのダウンロード
(PDFファイル 122KB)本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
報道関係からの問い合わせ先
IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510
E-mail: 