HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性関連情報の取扱い:ウェブサイトのセキュリティ対策の再確認を ~脆弱性対策のチェックポイント~

本文を印刷する

情報セキュリティ

脆弱性関連情報の取扱い:ウェブサイトのセキュリティ対策の再確認を ~脆弱性対策のチェックポイント~

最終更新日 2007年 4月 6日
独立行政法人情報処理推進機構
セキュリティセンター

ウェブサイトの脆弱性が悪用されたフィッシングやウェブページ改ざんなどの事件が発生しています。

ウェブサイトの脆弱性の悪用による被害を回避するためには、

  • ウェブアプリケーションのセキュリティ対策
  • ウェブアプリケーションが稼動しているウェブサーバのセキュリティ対策
  • ウェブサーバが設置されているネットワーク(ルータやファイアウォール)のセキュリティ対策

が必要です。どれが欠けても、ウェブサイトのセキュリティは確保できません。

組織のウェブサイト運営者、システムおよびネットワーク管理者は、これらの対策の実施状況を確認し、対策が採られていない場合には早急に対処してください。

A. 脆弱性対策のチェックポイント14項目

1.ウェブアプリケーションのセキュリティ対策

(1) 公開すべきでないファイルを公開していないか?
収集した個人情報などは公開すべきではありません。そのようなファイルは、公開するファイルとは別に、非公開の場所に保管しましょう。また、不要なファイルは削除しましょう。
(2) ユーザからの入力値をチェックして無害化していますか?
URLや入力フォームなどにはユーザが悪意ある文字列を入力することができます。悪意あるスクリプトやデータベースへのコマンドが入力された場合にそのまま実行されないよう、文字列をチェックし、必要に応じて無害化しましょう。
(3) 不要なエラーメッセージを返していないか?
ウェブアプリケーションのエラーメッセージには、様々な情報を含ませることができますが、大部分はユーザには不要のものです。関係者以外に余計な情報を与えないためにも、エラーメッセージの内容は必要最低限のものにしましょう。
(4) ウェブアプリケーションを不要に高い権限で運用していないか?
ウェブアプリケーションを実行するには、サーバ内のほかのアプリケーション(データベースなど)を制御できるような高い権限は必要ありません。必要最低限の権限で運用するようにしましょう。
(5) ログを記録しているか?
ログは、事故や故障、不審な動きがあった際に原因を追究するための重要な情報源です。必要に応じたログを記録するようにしましょう。

2.ウェブサーバのセキュリティ対策

(6) 見慣れないファイルやプログラムが置かれていないか?
ウェブサーバに侵入されると、悪意のあるプログラムやファイルを置かれることがあります。ウェブサーバ上に見慣れないファイルやプログラムがないか確認しましょう。
(7) サーバ、ミドルウェアに修正プログラムが適用されているか?
セキュリティホールをふさぐことが、セキュリティ対策の基本です。修正プログラムが公表されたら適用して、セキュリティホールをふさぎましょう。
(8) 余分なサービスを立ち上げていないか?
不要なサービスが起動している場合、そのサービスが悪用されることがあります。最低限必要なものを除き、停止しましょう。
(9) 不要なアカウントがないか?
サーバに不要なアカウントが登録されている場合、それだけ悪用される可能性が高まります。最低限必要なものを除き、削除しましょう。特に、開発・テスト環境で使用したアカウントが残っているケースがありますので、注意してください。
(10) パスワードが推測可能でないか?
パスワードが推測されやすい場合、それだけ悪用される可能性が高まります。推測されにくいパスワードを使用しましょう。特に、リモート管理ソフトなどのアプリケーションで、安易なパスワードを使用していないか、注意して下さい。
(11) ファイル、ディレクトリへの適切なアクセス制御をしているか?
サーバ上のファイル、ディレクトリに適切なアクセス制御がされていないと、非公開のファイルが見られたり、実行されたりします。アクセス制御を適切に行いましょう。
(12) ログを記録しているか?
ログは、事故や故障、不審な動きがあった際に原因を追究するための重要な情報源です。必要に応じたログを記録するようにしましょう。

3.ネットワークのセキュリティ対策

(13) ルータ機器を使用してネットワークの境界で不要な通信を遮断しているか?
境界ルータなどのネットワーク機器を使用して、外部から内部ネットワークへの不要な通信を遮断しましょう。
(14) ファイアウォールを使用して、適切に通信をフィルタリングしているか?
ファイアウォールを設置していても、フィルタリングが適切でなければ意味がありません。「どのサーバ」の「どのサービス」に「どこから」アクセスできる必要があるのかを正確に把握し、設定を見直しましょう。特に、内部ネットワークから外への不要な通信を許可していないかを注意してください。

4.セキュリティ監査

組織内部で上記のセキュリティ対策の確認をした上で、外部からのペネトレーションテストやウェブアプリケーションのコードチェック等の監査を受けることは、セキュリティ上、より効果的です。ウェブサイトの重要度に応じて、監査を受けることを推奨します。

対策の詳細については、IPAで公開している下記の参考資料を参照してください。

参考資料

B.不正アクセスを受けた、あるいは形跡がある場合は

不正アクセスを受けた、あるいはその形跡がある場合は、IPAに連絡して下さい。IPAでは、不正アクセスの被害の実態の把握、被害防止の啓発のため、被害情報の届出および相談を受け付けています。

C.セキュリティ上の問題があるウェブサイトを発見した場合は

一般の利用者が、セキュリティ上の問題があるウェブサイトを発見した場合、IPAに連絡してください。IPAは、ウェブサイト運営者に通知し、修正をお願いしています。また、ウェブサイト運営者の希望により、問題が修正されたことを確認しています。

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。
小門、山岸、加賀谷、田原

更新履歴

2007年4月6日 参考資料を変更
2005年6月23日 掲載