HOMEIPAについて新着情報プレス発表 「安全なウェブサイトの作り方 改訂第5版」を公開

本文を印刷する

IPAについて

プレス発表 「安全なウェブサイトの作り方 改訂第5版」を公開

2011年4月6日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの開発者・運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」に、携帯電話向けウェブサイトに関する注意点4項目などを追加した改訂第5版を、2011年4月6日(水)からIPAのウェブサイトで公開しました。
URL: http://www.ipa.go.jp/security/vuln/websecurity.html

概要

 国内の携帯電話向けウェブサイト(以下「携帯サイト」)には、携帯ID(*1)を用いたいわゆる「かんたんログイン」機能等、セキュリティ上特有の問題点があり、情報セキュリティの研究者などから、情報漏えいにつながる可能性が指摘されていました。2010年10月には、指摘されていた問題が原因となり、宅配便サービスの顧客向け携帯サイトで個人情報漏えい事故が発生しています。

 IPAはこの事故を受け、ウェブサイトの開発者・運営者に対して、携帯サイト特有の問題とその対処方法への理解を促進するため、「安全なウェブサイトの作り方」に上記事故の原因となった携帯IDの問題をはじめとした、携帯サイト開発上の注意点4項目を追加し、改訂第5版を公開しました。

 本資料(全106ページ)は、次のURLよりダウンロードできます。
 http://www.ipa.go.jp/security/vuln/websecurity.html

「安全なウェブサイトの作り方 改訂第5版」の主な改訂内容

  1. 「携帯ウェブ向けのサイトにおける注意点」を追加
    携帯サイトの開発者・運営者が注意する点として、下記4項目を追加しました。
    • 携帯IDの使用に関する注意点。いわゆる「かんたんログイン」の危険性と、その代替策。
    • セッション管理(*2)に関する注意点。セッションIDの格納場所に関する検討事項。
    • クロスサイト・スクリプティング(*3)に関する注意点。携帯サイトにおける対策の必要性。
    • 認証情報に関する注意点。短く単純な暗証番号等の危険性。
  2. 失敗例を2項目追加
    第4版では6項目だった失敗例に、下記2項目を追加し、合計8項目についてPerlやPHPなど実際のコードに基づき解説をしています。
    • 不適切なセッション管理の例
    • メールヘッダ・インジェクションの例
  3. その他
    レイアウトを変更し、読みやすさの向上を図りました。
 安全なウェブサイトの作り方の表紙

脚注

(*1) 携帯IDとは、携帯電話の端末や契約者ごとに割り振られた固有の文字列です。携帯IDは、利用者が携帯電話でウェブサイトを閲覧する際、携帯電話からウェブサイトに送信されます。

(*2) セッション管理の不備とは、ウェブアプリケーションが利用者を識別する仕組み(セッション管理)に問題があり、悪意のある人がログイン中の利用者になりすますことができる問題です。

(*3) クロスサイト・スクリプティングとは、ウェブサイトの利用者の入力をそのまま画面に表示する掲示板などが、悪意あるスクリプト(命令)を利用者のブラウザに送ってしまう問題です。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 大森/永安/勝海
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からの問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。