過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開

　情報処理推進機構（IPA）は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。

　同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。

　改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類の脆弱性に関する失敗例を追加。従来の「SQLインジェクション」「クロスサイトスクリプティング」に関する失敗例に加えて、サイト作成で起こりがちな失敗を例示している。

　さらにWAF（Web Application Firewall）の動作原理、その利用が有効な状況、導入検討における留意点が追加され、WAFの活用に向けた情報を充実させている。

　第1章では、ウェブアプリのセキュリティ実装に関して9種類の脆弱性を取り上げ、その解決策などを提示するほか、第2章ではサーバのセキュリティ対策、フィッシング詐欺を助長しないための対策などの運用面の情報を、第3章では失敗例と解説、修正例をそれぞれ提示。巻末にはウェブアプリのセキュリティ実装の実施状況を確認するためのチェックリストも付属する。

　同資料は2006年1月に第1版が公開され、130万件を超えるダウンロードを記録している。IPAでは、同資料を利用することで、ウェブサイトにおけるセキュリティ問題を解決する手助けとなることを期待しているという。