• 日立ソフトウェアエンジニアリング株式会社
  協働：　サン・マイクロシステムズ株式会社
• 「第二回情報セキュリティ関連の調査・開発に関する公募」において採択。

本調査は、以下の 2つの調査項目からなる。

（1）セキュアプログラミングに関する調査

サーバーにおいて、Java言語によるアプリケーションの開発が増加している。Java 言語の開発プラットホームの１つである Java 2 Enterprise Edition (J2EE) を例として、特にインターネットサーバーのアプリケーションを開発する時に注意すべき、セキュアな設計と実装に関するノウハウをまとめる。

（2) セキュリティ強化 OS を利用したインターネットサーバー構築に関する調査

平成13年度に実施した「オペレーティングシステムのセキュリティ機能拡張の調査」の成果を踏まえ、セキュリティ強化 OS を用いた、安全性の高いインターネットサーバーを構築するにあたり、理想的な設定・運用方針について具体的なガイドラインとしてまとめる。
本ガイドラインには、商用(Trusted Solaris) とフリー(SELinux)のセキュリティ強化OSでの設定・運用の比較を記載することにより、ユーザーの選択の幅を広げることができる。

政府は、行政文書の電子化、情報ネットワークによる情報共有・活用、行政手続のオンライン化を目指した電子政府を 2003年度までに実現する為、既存システムの改版と新システムの開発を行っている。これにより、自宅や職場からインターネットを経由した行政手続 24時間が可能となる等の国民にとっての利便性の向上が期待される。しかしながら一方では、インターネットを経由したコンピュータウイルス、不正アクセス等の脅威も増加している。 電子政府・電子自治体が整備されるにつれ、より多くの重要な情報がネットワーク上で利用されるようになるため、政府や企業の情報セキュリティ対策をさらに強化する必要がある。

近年のインターネットサーバーの不正アクセス被害の多くは侵入によるものであり、オペレーティングシステムやインターネットサービスプログラム自身に潜在する脆弱性、システム及びサービスプログラムの設定・運用の不備、Webサーバーで動作するアプリケーション（コンテンツやスクリプト等を含む）のセキュリティに対する考慮不足が大きな要因となっている。このため、本調査では、セキュアなインターネットサーバーを構築するために、使用するオペレーティングシステムまたその上で稼動するインターネットサービスプログラムやアプリケーションに関するセキュリティの設定・確保の一助となるセキュリティベストプラクティス及び理想的な設定・運用指針をまとめ、今後構築される電子政府システム等のセキュリティが向上することを目的とする。

• 啓発資料 「セキュア・プログラミング講座2」 (1,928 KB)

ガイドライン 「セキュアなインターネットサーバーの設定と運用」

• はじめに  （44KB）
• Trusted Solaris編  2003/4/14版（3,182KB）
• Security-Enhanced Linux編  2003/4/14版（1,398KB）
• おわりに  （18KB）

• 「セキュア・プログラミング講座」
• 「オペレーティングシステムのセキュリティ機能拡張の調査」