◆Webシステムの基盤ソフトが抱えるぜい弱性と対応策 |
OSやapacheなどのWebサーバソフトそのものが抱えるぜい弱性は、ユーザー側で修正することはできません。これらに関しては開発元の修正パッチを常にチェックし、最新のパッチがあたっている状態をキープしなければなりません。ここでの重大の注意点は、開発元は修正パッチを適用した後の動作保証をしている訳ではないということです。ユーザーは自らの責任で修正後のシステムが正しく動作するかどうか検証する必要があります。 |
◆Webシステムの各要素の設定ミス、その検証不実施によるぜい弱性の発生と対応策 |
Webブラウザ上でURLアドレスを設定する際、特に既定アドレス設定をしていないでアクセスすると公開ディレクトリに格納されている全ファイルが見えてしまう場合があります。このような公開ディレクトリに間違って個人データ格納ファイルがおかれているケースがあり、この場合は漏えい事故を起こしてしまうこととなります。
このような様態への対応措置としては、必ずセキュアな既定ファイル設定を行うことや、Webサーバの設定で強制的にファイル・ディレクトリの表示をしないように設定することが有効です。これらは一例であり、他にもルーターやファイヤーウォール、IDS/IPSやWAFなど設定ポイントは数限りなくあり、全ての項目設定とそのチェックに綿密な作業品質管理が要求されるところです。 |
◆CGI,SSIなどの動的な情報提供が可能なWebプログラムに対するセキュリティ対策 |
Webショッピングシステムでは、構成プログラムのぜい弱性によるクロスサイトスクリプティングやインジェクション(OS、SQL)、パラメータ改ざん等の不正アクセスに対抗するための様々な対策が必要です。防衛対抗策として、攻撃の手口に応じて、実行スクリプトの不活性化やセッションIDのチェック。特殊文字の無害化、実行可能なSQL文を制限するなどの対策が必要です。これらはWebサイト構築SEのセキュリティに関する力量が問われる部分でもあります。また、これらのアプリケーション層の対応措置の組み込みに代替できるWAF(Webアプリケーションファイヤーウォール)のような製品も出てきており、中にはパターンファイルを自動更新サービスする製品もありますから検討すると良いでしょう。 |
