抜け漏れないウェブのセキュリティ対策を - IPAがポイント20カ条

一方「ウェブアプリケーション」を動作させる「ウェブサーバ」に関しても脆弱性対策やサーバログの確認などを求めた。あわせて不要なサービスやアカウントの利用を停止、適切なアクセス制御やパスワード管理なども求めている。

またクラウドやホスティングサービスなど利用する場合も、責任の範囲を確認し、必要に応じて自組織で対応することや、定期的なセキュリティ診断、脆弱性診断を行うよう求めている。

同機構が示したウェブサイトのセキュリティ対策におけるチェックポイントの20カ条は以下のとおり。

・公開すべきではないファイルを公開していないか
・不要となったページやウェブサイトを公開していないか
・「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策を実施しているか
・ウェブアプリケーションを構成するソフトウェアの脆弱性対策を定期的に実施しているか
・不必要なエラーメッセージを返していないか
・ウェブアプリケーションのログを保管し、定期的に確認しているか
・インターネットを介して送受信する通信内容を暗号化しているか
・不正ログインの対策はできているか
・OSやサーバ、ミドルウェアをバージョンアップしているか
・不要なサービスやアプリケーションはないか
・不要なアカウントが登録されていないか
・推測されやすい単純なパスワードを使用していないか
・ファイル、ディレクトリへの適切なアクセス制御を実施しているか
・ウェブサーバのログを保管し、定期的に確認しているか
・ルータなどを使用してネットワークの境界で不要な通信を遮断しているか
・ファイアウォールを使用して、適切に通信をフィルタリングしているか
・ウェブサーバやウェブアプリへの不正な通信を検知、遮断しているか
・ネットワーク機器のログを保管し、定期的に確認しているか
・クラウドなどのサービス利用において、自組織の責任範囲を把握し、必要な対策を実施できているか
・定期的にセキュリティ診断、監査しているか

（Security NEXT - 2018/12/14 ） ツイート

PR

関連記事

人材育成プログラム「SecHack365」が応募受付をまもなく開始
「SECURITY ACTION」の宣言事業者、約4割が効果を実感
「セキュリティ・キャンプ2024全国大会」の応募受付を開始
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
「情報セキュリティ10大脅威2024」簡易資料が公開 - 新年度の研修にも
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
1年で不正サイトへのアクセス7億件をブロック - 前年から4割増
サイバー攻撃の情報共有における手引書とモデル条文を公開 - 経産省
2023年の不正アクセス認知件数、前年比2.9倍に急増