Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

抜け漏れないウェブのセキュリティ対策を - IPAがポイント20カ条

一方「ウェブアプリケーション」を動作させる「ウェブサーバ」に関しても脆弱性対策やサーバログの確認などを求めた。あわせて不要なサービスやアカウントの利用を停止、適切なアクセス制御やパスワード管理なども求めている。

またクラウドやホスティングサービスなど利用する場合も、責任の範囲を確認し、必要に応じて自組織で対応することや、定期的なセキュリティ診断、脆弱性診断を行うよう求めている。

同機構が示したウェブサイトのセキュリティ対策におけるチェックポイントの20カ条は以下のとおり。

・公開すべきではないファイルを公開していないか
・不要となったページやウェブサイトを公開していないか
・「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策を実施しているか
・ウェブアプリケーションを構成するソフトウェアの脆弱性対策を定期的に実施しているか
・不必要なエラーメッセージを返していないか
・ウェブアプリケーションのログを保管し、定期的に確認しているか
・インターネットを介して送受信する通信内容を暗号化しているか
・不正ログインの対策はできているか
・OSやサーバ、ミドルウェアをバージョンアップしているか
・不要なサービスやアプリケーションはないか
・不要なアカウントが登録されていないか
・推測されやすい単純なパスワードを使用していないか
・ファイル、ディレクトリへの適切なアクセス制御を実施しているか
・ウェブサーバのログを保管し、定期的に確認しているか
・ルータなどを使用してネットワークの境界で不要な通信を遮断しているか
・ファイアウォールを使用して、適切に通信をフィルタリングしているか
・ウェブサーバやウェブアプリへの不正な通信を検知、遮断しているか
・ネットワーク機器のログを保管し、定期的に確認しているか
・クラウドなどのサービス利用において、自組織の責任範囲を把握し、必要な対策を実施できているか
・定期的にセキュリティ診断、監査しているか

(Security NEXT - 2018/12/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

都が中小企業セキュ対策であらたな支援事業 - 試験的に機器設置、インシデント対応もサポート
「JSAC 2021」はオンライン開催に - 参加登録の受付を開始
自治体防災メール、送信ドメイン認証「SPF」に9割対応 - 「DMARC」は1割強
若手対象「辻井重男セキュリティ論文賞」募集開始 - JSSM
IoT開発者向けのセキュリティ手引書を公開 - SIOTP協議会
2020年3Qは脆弱性届出が1.3倍に - ソフト、サイトいずれも増加
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
専門学校生対象のコンテスト - テーマは「サイト運営会社向けセキュリティ教育」
2020年3Qのインシデント、前四半期比約1.2倍に - 探索行為やサイト改ざんが増加
ウェブサービスの画像認証で15%がログイン断念