情報処理推進機構(IPA)は、最近、ウェブサイトの脆弱性が悪用された情報漏えいやウェブサイト改ざんなどの事件が頻発していることから、企業などにおけるウェブサイトの脆弱性が悪用された被害を回避するためのチェックポイントを、同機構のホームページ上に公表した。チェックポイントは14項目からなるが、対策が採られていない場合には早急に対処する必要があると注意を促している。
同機構では、ウェブサイトの脆弱性の悪用による被害を回避するために、A)ウェブアプリケーションのセキュリティ対策、B)ウェブアプリケーションが稼動しているウェブサーバのセキュリティ対策、C)ウェブサーバが設置されているネットワーク(ルータやファイアウォール)のセキュリティ対策を掲げている。具体的なチェックポイントのリストの概要は次のようなものだ。
【ウェブアプリケーション】 1)不要なエラーメッセージを返していないか:攻撃者の参考となるような情報を与えないようにする、2)公開すべきでないファイルを公開していないか:不要なファイルを削除し、公開すべきでないファイルは非公開の場所に保存する、3)ユーザーからの入力値をチェックして無害化しているか:入力された文字列から、OSやデータベースへの命令文として実行してしまわないように、文字列の置換・除去を行う、4)ウェブアプリケーションを不要に高い権限(管理者権限等)で運用していないか、5)ログを記録しているか:ログは原因を追求するために重要な情報源だ。
【ウェブサーバ】 6)見慣れないファイルやプログラムが置かれていないか、7)サーバ、ミドルウェアなどに修正プログラムが適用されているか、8)余分なサービスを立ち上げていないか:不要なサービスは停止させ、悪用される危険性を低減させる、9)不要なアカウントがないか:開発やテストに使用したアカウントなどの不要なアカウントは削除する、10)パスワードが推測可能でないか、11)ファイル、ディレクトリへの適切なアクセス制御をしているか、12)ログを記録しているか。
【ネットワーク】 13)ルータ機器を使用してネットワークの境界で不要な通信を遮断しているか、14)ファイアウォールを使用して、適切に通信をフィルタリングしているか。
詳細は、同機構のホームページから
http://www.ipa.go.jp/security/vuln/20050623_websecurity.html