最近、ブログをはじめとする様々なWebサービスが提供されていますが、それらを利用したWebサイトも多く見られるようになりました。また、自社の製品やサービスを動きのあるページで表現しているサイトもあります。しかし、それと同時に、Webサイトのセキュリティ問題も増えてきました。従来、HTMLだけのテキストベースだったサイトが、様々なプログラムやデータベース入りのサイトに変化し、つけ込まれる隙が広がってきたのです。そこで今回は、Webサイトの脅威と対策に関するサイトを紹介します。
◆安全なウェブサイト運営入門
http://www.ipa.go.jp/security/vuln/7incidents/index.html
情報処理推進機構提供、ロールプレイング(物語風)形式で学べる無料のソフトです。初心者向けに作られており、とてもわかりやすいです。導入の手間が少し掛かりますが、難しくはないのでぜひお試しください。
◆知っていますか?脆弱性
http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
情報処理推進機構が提供。Webサイトにおける10種類の脆弱性(あぶないポイント)について、イラストと会話でわかりやすく解説しています。専門用語が多いのでとっつきにくい部分もありますが、何が問題で何が起きるのかが理解できればOKです。
◆ウェブサイト運営者のための脆弱性対応ガイド
http://www.ipa.go.jp/security/fy19/reports/vuln_handling/index.html
Webサイト運営者に対し、脆弱性によるトラブルや対応方法を説明した資料です。巻末に、脆弱性について通知を受けた場合のチェックシートがありますので、印刷して関係者に周知徹底しておくとよいでしょう。
◆SQLインジェクション検出ツール
http://www.ipa.go.jp/security/vuln/iLogScanner/index.html
被害の多いSQLインジェクション(データベースの不具合をついた不正操作)ですが、自社サイトがそれを行われた可能性の有無を見つけるオンラインサービス。アクセスログと呼ばれるサーバーの記録ファイルが必要で、管理者向けです。最近、Webサイトの調子がおかしいのだが、どうやって確認すればいいのか分からないというかたはこのツールをまず試してみてください。
◆Webシステム セキュリティ要求仕様書
http://www.jnsa.org/active/2005/active2005_1_4a.html
日本ネットワークセキュリティ協会が提供する要求仕様書の書き方ガイドです。これから、Webシステムやサイトを考えていらっしゃる方は一読されることをおすすめします。Webシステムのセキュリティは範囲が広く、内容が専門的なのでついつい敬遠しがちな要求項目ですが、具体的な例も掲載されているので、参考にしてください。
◆ケーススタディによる安全なWebサイト構築と運用
http://buyers.networkworld.jp/security/article.php/2007060410414059
日本ネットワークセキュリティ協会が提供するWebサイト構築と運用の流れを示したサイトです。企画(前編、後編)・設計(前編、後編)・テスト・運用の6回にわたって仮想企業でのよくある問題点を流れに沿って説明しています。かなり読み応えの
あるものとなっていますが、実際に開発するとなるとこれぐらいいろいろ考えるべきことがあるというのがよくわかります。