「安全なウェブサイトの作り方 改訂第3版」を公開
最終更新日 2008年6月11日
掲載日 2006年1月31日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方 改訂第3版」を2008年3月6日(木)より、IPAセキュリティセンターのウェブサイト上で公開しました。また、2008年6月11日(水)より英語版を公開しました。
「安全なウェブサイトの作り方」は、IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料です。
今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な8つの「失敗例」を第3章として追加しました。
また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策を新たな節として追加しました。
本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。
第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティングなど9つの項目を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトなどを解説し、主に開発面から脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる保険的な対策を示しています。
第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策やフィッシング詐欺を助長しないための対策など5つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させる対策を示しています。
第3章では、「失敗例」として、SQLインジェクションとクロスサイト・スクリプティングの脆弱性を取り上げ、問題のあったウェブアプリケーションの実装、具体的な問題のコード、解説、修正例を示しています。
巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付与しています。
本資料は、2006年1月の第1版の公開以来、75万件を超えるダウンロードを記録しています。今後も、ウェブサイトのセキュリティ問題の解決の一助となれば幸いです。
資料のダウンロード
(日本語版)
(英語版)
(参考情報)
- プレスリリース全文 (145KB)
- 「How to Secure Your Web Site」を公開 (2008年6月11日追記)
- How to Secure Your Web Site 3rd Edition Released(2008年6月11日追記)
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:
報道関係からのお問い合わせ先
独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:
更新履歴
2008年6月11日 |
英語版を掲載。 |
|---|---|
2008年3月6日 |
改訂第3版を掲載。8月1日第2刷、2009年6月1日第3刷に更新。 |
2006年11月1日 |
改訂第2版を掲載。2007年3月1日第2刷、9月10日第3刷に更新。 |
2006年1月31日 |
第1版を掲載。2006年5月11日第2刷に更新。 |
普及啓発資料の最新情報
2009年
| 11月4日 | 「生体認証システムの導入・運用事例集」改訂版等の公開 |
|---|---|
| 10月27日 | 「5分でできる!情報セキュリティポイント学習」ツールを公開 |
| 8月11日 | 「DNSキャッシュポイズニング対策」の資料を第3版に改訂 |
| 6月24日 | 「組込みシステムのセキュリティへの取組みガイド」を公開 |
|---|---|
| 6月18日 | 脆弱性対策情報データベース「JVN iPedia」を機能強化 |
| 6月8日 | 「ウェブサイト構築事業者のための脆弱性対応ガイド」などを公開 |
| 4月28日 | 製品開発者の発信する脆弱性対策情報の自動収集の試行を開始 |
| 4月23日 | SIPの脆弱性に関する検証ツールを公開 |
2008年
| 11月11日 | SQLインジェクション検出ツール「iLogScanner」を機能強化 |
|---|---|
| 10月23日 | 脆弱性対策情報収集ツール「MyJVN」を公開 |
| 10月23日 | 共通プラットフォーム一覧CPE概説 |
9月10日 |
共通脆弱性タイプ一覧CWE概説 |
|---|---|
7月29日 |
「Vulnerability Disclosure Guideline for Software Developers」を公開 |
6月18日 |
「安全なウェブサイト運営入門」を公開 |
|---|---|
6月11日 |
「How to Secure Your Web Site」を公開 |
5月27日 |
情報セキュリティ白書2008第2部「10大脅威 ますます進む『見えない化』」を公開 |
3月18日 |
「近年の標的型攻撃に関する調査研究−調査報告書−」を公開 |
|---|---|
3月 6日 |
「安全なウェブサイトの作り方 改訂第3版」を公開 |
2月28日 |
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開 |
2月12日 |
「脆弱性情報共有フレームワークに関する調査報告書」を公開 |
1月29日 |
「複数の組込み機器の組み合わせに関するセキュリティ調査報告書」を公開 |
2007年
| 2006年11月 | 2006年度ウェブアプリケーション開発者向けセキュリティ実装講座 |
| 2006年5月 | 組込みソフトウェアのセキュリティ対策 |
| 2006年3月 | 情報セキュリティ白書2006-10大脅威「加速する経済事件化」と今後の対策- |
| 2006年2月 | 2005年度ウェブアプリケーション開発者向けセキュリティ実装講座 |
| 2005年6月 | ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜 |
| 2005年3月 | コンピュータ・セキュリティ 〜2004年の傾向と今後の対策〜 |
| 2004年6月 | 脆弱性関連情報取り扱い説明会の開催について |