HOME情報セキュリティ情報セキュリティ対策脆弱性対策安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~

本文を印刷する

情報セキュリティ

安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~

最終更新日 2015年 7月 14日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 ウェブサイトの脆弱性や運用管理の不備を悪用された情報漏えいやウェブページの改ざんなどの事件が多数発生しています。ウェブサイトの改ざんや情報漏えい等の被害が発生すると、サービス停止や顧客への補償等、事業に直接的な影響を受ける可能性があります。

 安全なウェブサイトの構築と運用管理をするためには、下記図が示す対象ごとに検討および対策が必要です。どれが欠けても、ウェブサイトの安全性は確保できません。

 ウェブサイト運営者、システムおよびネットワーク管理者は、下記の「ウェブサイトのセキュリティ対策のチェックポイント16ヶ条」を確認し、対策がとられていない場合には早急に対策をしてください。 

ウェブサイトのセキュリティ対策のチェックポイント16ヶ条

1.ウェブアプリケーションのセキュリティ対策

(1) 公開すべきでないファイルを公開していませんか?
 設定ファイルや個人情報などの重要な情報を格納したファイルは公開すべきではありません。そのようなファイルは、公開するファイルとは別に、インターネット上からアクセスできない場所に保管し、不要なファイルは削除する必要があります。
 また、ファイルを誤って公開していた場合、非公開するだけでは検索エンジンのキャッシュとして残り、見られてしまうことがあります。非公開にしたファイルが検索エンジンのキャッシュに残っている場合は、運営会社に対して、キャッシュの削除を依頼する必要があります。

(2) 不要なページやウェブサイトを公開していませんか?
 期間限定のページや、不要なウェブサイトを公開したまま放置していると、気づかない内に脆弱性の影響を受ける可能性があります。不要なページや管理ができていないウェブサイトがないか確認をして、不要なページやウェブサイトは閉鎖する必要があります。
(3)  「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
 「安全なウェブサイトの作り方」には、IPAが届出を受付けたウェブアプリケーションの脆弱性のうち、届出件数が多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、概要や対策方法を解説しています。ウェブサイトを確認し、これらの脆弱性対策をしてください。
 「安全なウェブサイトの作り方」の別冊「ウェブ健康診断仕様」には、基本的な脆弱性対策が出来ているかどうかを確認する検査パターンをまとめています。個人情報の漏えいの原因となるSQLインジェクションの脆弱性や、IPAに非常に多く届出されているクロスサイト・スクリプティングの脆弱性等が対策済みかどうか、確認する際に参考にしてください。

(4) ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
 ウェブアプリケーションは様々なソフトウェアやフレームワーク、CMS等で構成されています。これらのソフトウェアに脆弱性が発見された場合、適宜バージョンアップ等の対策が必要なため、自組織のウェブサイトがどのようなソフトウェアで作られているか把握して脆弱性対策をとれるようにする必要があります。
 脆弱性対策情報データベース「JVN iPedia」は、日々公開されるソフトウェア等の脆弱性対策情報を収集、蓄積しており、情報収集に活用いただけます。
(5) 不要なエラーメッセージを返していませんか?
 ウェブアプリケーションのエラーメッセージから、ウェブサイトの設定情報などが漏えいし、攻撃に悪用されることがあります。このようなメッセージの大部分は、ウェブサイトの閲覧者には不要なものです。攻撃者に余計な情報を与えないためにも、エラーメッセージの内容は必要最低限のものにしてください。

(6) ウェブアプリケーションのログを保管し、定期的に確認していますか?
 ログは、事故や故障、不正アクセス等の不審な動きがあった際に原因を追究するための重要な情報源です。必要に応じたログを保管し、定期的に確認をする必要があります。

2.ウェブサーバのセキュリティ対策

(7) OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
 OSやサーバソフトウェア、ミドルウェアのバージョンアップは、セキュリティ対策の基本です。修正プログラムが公表された際は適用し、脆弱性を解消してください。なお、ソフトウェアをバージョンアップした場合、今まで動作していたウェブアプリケーションが正常に動作しなくなる場合があるため、事前の検証が必要です。
(8) 不要なサービスやアプリケーションがありませんか?
ウェブサーバ上で不要なサービスが起動している場合、そのサービスが悪用されることがあるため、最低限必要なもの以外は、停止してください。また、不要なアプリケーションも同様に削除してください。

(9) 不要なアカウントが登録されていませんか?
 ウェブサーバやウェブサーバを管理する端末に不要なアカウントが登録されている場合、悪用される可能性が高まります。アカウントの一覧を見直して、最低限必要なものを除き、削除してください。特に、開発工程やテスト環境で使用したアカウントが残っているケースがありますので、注意してください。

(10) 推測されにくい複雑なパスワードを使用していますか?
 パスワードが推測されやすい場合、悪用される可能性が高まります。推測されにくい複雑なパスワードを使用してください。特に管理者権限を持ったアカウントやリモート管理ソフトなどのアプリケーションの場合、悪用される危険性が高いため、安易なパスワードを使用していないか、注意して下さい。安易なパスワードを使用していた場合、IPAの下記ウェブページを参考に複雑なパスワードに変更してください。
(11) ファイル、ディレクトリへの適切なアクセス制御をしていますか?
 ウェブサーバ上のファイル、ディレクトリに適切なアクセス制御がされていない場合、第三者に非公開のファイルを見られたり、プログラムが実行されたりします。アクセス制御を適切にする必要があります

(12) ウェブサーバのログを保管し、定期的に確認していますか?
 アクセスログは、事故や故障、不審な動きがあった際に原因を追究するための重要な情報源です。必要に応じたログを保管し、定期的に確認をする必要があります。 IPAでは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールを公開しています。

3.ネットワークのセキュリティ対策

(13) ルータ機器を使用してネットワークの境界で不要な通信を遮断していますか?
 境界ルータなどのネットワーク機器を使用して、外部から内部ネットワークへの不要な通信は遮断してください。内部に侵入された場合、悪用される可能性があるため、内部から内部ネットワークおよび内部から外部ネットワークについても、不要な通信は許可しないように注意してください。

(14) ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
 ファイアウォールを設置していても、フィルタリングが適切でなければ意味がありません。「どのサーバ」の「どのサービス」に「どこから」アクセスできる必要があるのかを把握し、設定を見直してください。

(15) ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
 IDSやIPSおよびWAF(Web Application Firewall)は、ウェブサイトと利用者の間の通信を検査し、不正な通信を自動的に検知または遮断するソフトウェア、もしくはハードウェアです。
 ウェブサイトに脆弱性が発見された場合、ウェブアプリケーションを速やかに修正できないことがあります。修正されるまでの間、攻撃による影響を低減する対策としてWAFを導入してウェブアプリケーションを保護することは有効な手段の一つです。
 IPAではウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料を公開しています。
(16) ネットワーク機器のログを保管し、定期的に確認していますか?
 ログは、事故や故障、不審な動きがあった際に原因を追究するための重要な情報源です。必要に応じてログを保管し、定期的に確認をする必要があります。
▽クラウド・ホスティングサービスで、ウェブサイトを運用している場合

 クラウドサービスやホスティングサービスでは、上記に記述したウェブサーバおよびネットワークのセキュリティ対策をサービス事業者側が提供していることがあります。自組織で、このようなサービスを利用している、または利用を開始したい場合は、サービス事業者の作業範囲やどのようなセキュリティ対策を提供しているかを把握しましょう。これらを把握した上で、サービス事業者にセキュリティ対策を一任せず、自組織で実施する作業を洗い出しておくことが重要です。
 IPAでは、中小企業向けにクラウドサービスを安全に利用する上で留意すべき事項をまとめた資料を公開しています。

セキュリティ検査、監査

 組織内部で上記のセキュリティ対策を実施しているか確認した上で、外部の組織によるサーバやネットワーク機器、ウェブアプリケーションに対する脆弱性検査やセキュリティ監査を受けることは、対策漏れや不要な対策を洗い出すために効果的な手段です。ウェブサイトの重要度に応じて、公開する前にセキュリティ検査を受け、指摘された問題点を解消してから公開することを推奨します。また、公開、運用後において、定期的な監査を継続的に実施することが重要です。
 IPAでウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポートを公開しています。組織内部にて、ウェブアプリケーションの脆弱性検査の実施を検討される際は、下記資料を参考にしてください。

参考資料

ウェブサイトで利用しているソフトウェア製品に未修正の脆弱性を発見した場合は

 ウェブサイトで利用しているソフトウェア製品に未修正の脆弱性を発見した場合は、IPAに届出してください。IPAは、製品開発者に修正をお願いし、製品利用者へ周知するため脆弱性対策情報をJVNで公表します

不正アクセスを受けた、あるいは形跡がある場合は

 チェックの結果、不正アクセスを受けた、あるいはその形跡がある場合は、IPAに連絡して下さい。IPAでは、不正アクセスの被害実態の把握、被害防止の啓発のため、被害情報の届出および相談を受け付けています。

ウェブサイトの改ざん等を発見した場合は

 ウェブサイトの改ざん等を発見した方、被害に遭われた方は、以下の問い合わせ先までご連絡ください。
  JPCERT/CCインシデント報告
E-mail
FAX 03-3518-2177
※インシデント報告以外のものは 03-3518-4602 宛にお願いします。
Webフォーム https://www.jpcert.or.jp/form/#web_form

 ウェブサイトに関する不安やご相談がある方は以下の窓口へご連絡ください。
  IPA情報セキュリティ安心相談窓口の問合せ先
電話 03-5978-7509
(相談対応員による対応は、平日の10:00~12:00および13:30~17:00)
E-mail
(このメールアドレスに特定電子メールを送信しないでください。)
FAX 03-5978-7518
郵送 〒113-6591
東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス16階
IPAセキュリティセンター「情報セキュリティ安心相談窓口」宛

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2015年7月14日 全面改訂
2007年4月6日 参考資料を変更
2005年6月23日 掲載