Webサイトのセキュリティ対策のチェックポイント20か条 | 京都で働くコンサルタントのブログ
2019-03-16 06:12:02

Webサイトのセキュリティ対策のチェックポイント20か条

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。
 
今回は、IPA(独立行政法人情報処理推進機構)のサイトに掲載されている「安全なウェブサイトの運用管理に向けての20ヶ条~セキュリティ対策のチェックポイント~」をご紹介します。
 
Webサイトの脆弱性や運用管理不備があると、それを悪用した情報漏洩やWebページ改ざん等を招き、その結果、ビジネスやサービスの中断・停止、またそれによって生じた損失への補償等、事業に直接的な影響が生じる恐れがあります。
 
そのような事態に陥らないよう、Webサイトを安全に運用管理することが重要であり、そのための対策として、以下の4つの項目について、合計20のチェックポイントが示されています。
 
1) Webアプリケーションのセキュリティ対策
2) Webアプリケーションが稼働しているWebサーバのセキュリティ対策
3) Webサーバが設置されているネットワークのセキュリティ対策
4) その他のセキュリティ対策

 
 
以下がチェックポイントです。
 
 
1) Webアプリケーションのセキュリティ対策
 
 01 公開すべきでないファイルを公開していませんか?
 
 02 不要になったページやWebサイトを公開していませんか?
 
 03 「安全なウェブサイトの作り方」に取り上げられている
   脆弱性への対策をしていますか?
 
 04 Webアプリケーションを構成しているソフトウェアの
  脆弱性対策を定期的にしていますか?
 
 05 不必要なエラーメッセージを返していませんか?
 
 06 Webアプリケーションのログを保管し、
  定期的に確認していますか?
 
 07 インターネットを介して送受信する
  通信内容の暗号化はできていますか?
 
 08 不正ログインの対策はできていますか?
 
 
2) Webサーバのセキュリティ対策
 
 09 OSやサーバソフトウェア、ミドルウェアを
  バージョンアップしていますか?
 
 10 不要なサービスやアプリケーションがありませんか?
 
 11 不要なアカウントが登録されていませんか?
 
 12 推測されやすい単純なパスワードを使用していませんか?
 
 13 ファイル、ディレクトリへの適切なアクセス制御をしていますか?
 
 14 Webサーバのログを保管し、定期的に確認していますか?
 
 
3) ネットワークのセキュリティ対策
 
 15 ルータなどを使用してネットワークの境界で
  不要な通信を遮断していますか?
 
 16 ファイアウォールを使用して、
  適切に通信をフィルタリングしていますか?
 
 17 Webサーバ(またはWebアプリケーション)への
  不正な通信を検知または、遮断していますか?
 
 18 ネットワーク機器のログを保管し、
  定期的に確認していますか?
 
 
4) その他のセキュリティ対策
 
 19 クラウドなどのサービス利用において、自組織の責任範囲を
  把握した上で、必要な対策を実施できていますか?
 
 20 定期的にセキュリティ検査(診断)、監査していますか?

 
 
いずれも定期的に確認することが大切であり、対策が十分でない場合は、早急に対策を取るべき事項ですので、かかわりのある方はぜひご確認ください。
 
 
詳しくは、以下をご覧ください。
 
▼安全なウェブサイトの運用管理に向けての20ヶ条
 ~セキュリティ対策のチェックポイント~

https://www.ipa.go.jp/security/vuln/websitecheck.html
 
 
 
 
 

 

株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ