 |
||||||||||||
|
||||||||||||
|
前のページ 1 2 3 |
||||||||||||
|
||||||||||||
| DNS情報の設定不備 | ||||||||||||
|
Webサイトが利用しているドメイン名およびそのDNSサーバについて、問題のある運用や設定は、悪意ある人によるドメイン名乗っ取りにつながる可能性があります。 ドメイン名の乗っ取りを行われた場合、利用者が本物のWebサイトのURLを指定しても、そのドメイン名を乗っ取った人が用意したWebサイトに接続してしまいます。ドメイン名の乗っ取りによる影響は、Webサイトだけでなく、電子メールなどのインターネットを利用するサービスすべてに及びます。DNSに関する問題ですが、Webサイトにも直接影響する問題であるため、注意が必要です。 |
||||||||||||
| ドメイン名およびそのDNSサーバの登録状況を調査し、必要に応じて対処を行う | ||||||||||||
|
これは、ドメイン乗っ取りを回避するための対策です。ドメイン名およびそのDNSサーバについて、登録状況を確認し、必要に応じて対処を行ってください。DNSサーバの運用を外部に依託している場合は、その委託先に対処を依頼する必要があります。詳細は下記の情報をご参照ください。
参考URL
ドメイン名の登録とDNSサーバの設定に関する注意喚起 http://www.ipa.go.jp/security/vuln/20050627_dns.html |
||||||||||||
| ネットワーク盗聴への対策 | ||||||||||||
|
Webサイトと利用者の間で交わされる情報は、ネットワークの盗聴によって不正に取得される可能性があります。通信や情報が暗号化されていない場合、盗聴によって取得された情報が悪用され、成りすましなどにつながる可能性があります。  図1:ネットワーク盗聴 (画像をクリックすると別ウィンドウに拡大図を表示します) ネットワーク盗聴はWebサイトと利用者との経路上で行われるため、この行為自体をWebサイト側の運用や設定のみで防ぐことは困難です。しかし、盗聴による影響を低減することは可能です。特に認証情報や個人情報を扱うWebサイトでは、ネットワーク盗聴への対策として、次の内容をご検討ください。
表2:ネットワーク盗聴への対策 |
||||||||||||
| 重要な情報を取り扱うWebページでは、通信を暗号化する | ||||||||||||
|
これは、盗聴による情報漏えいを回避するための対策です。通信を暗号化する主な手段として、SSL(Secure Socket Layer)やTLS(Transport Layer Security)を用いたHTTPS通信の利用があります。 個人情報の登録ページや認証情報をリクエストするログインページなど、保護するべき情報を扱うWebサイトでは、通信を暗号化することをお勧めします。レンタルサーバを利用してWebサイトを運営している場合、レンタルサーバのサービスがHTTPS通信を提供していない場合があります。このようなWebサイトで重要情報を扱うことはお勧めできません。 |
||||||||||||
| 利用者へ通知する重要情報は、メールで送らず、暗号化されたhttps://のページに表示する | ||||||||||||
|
これは、盗聴による情報漏えいを回避するための対策です。Webサイトの運営によっては、Webサイトの利用者に、個人情報やパスワードなどの重要情報を通知する場合があります。 ここで、ネットワークを経由して情報を送信する場合には、盗聴対策として通信の暗号化か、重要情報の暗号化が必要になります。暗号化が必要な情報を利用者に通知する場合は、HTTPS通信を利用し、Webページに表示することをお勧めします。 メールを利用する場合には、メール本文の暗号化として、S/MIME(Secure /Multipurpose Internet Mail Extensions)やPGP(Pretty Good Privacy)などの技術がありますが、利用者側に暗号化環境や秘密鍵が必要となるため、現実的ではないかもしれません。 |
||||||||||||
| Webサイト運営者がメールで受け取る重要情報は、暗号化を施す | ||||||||||||
|
これは、盗聴による情報漏えいを回避するための対策です。 Webページに入力された個人情報などの重要情報を、Webアプリケーションに実装されたメール通知機能を利用して、Webサイト運営者がメールで受け取る場合は、S/MIMEやPGPなどを利用してメールを暗号化するようにしてください。 S/MIMEやPGPを利用できない場合には、その他の方法でメール本文を暗号化するようにします。なお、盗聴対策として、メールサーバ間の通信の暗号化(SMTP over SSL)やメールサーバとWebサイト運営者との通信の暗号化(POP/IMAP over SSL)なども考えられますが、ネットワーク構成によっては、途中経路が暗号化されない可能性があるため、安全とはいえません。
参考URL
S/MIMEを利用した暗号化と電子署名 http://www.ipa.go.jp/security/fy12/contents/smime/email_sec.html |
||||||||||||
| 次回は | ||||||||||||
|
次回は、Webサイトの安全性向上のための取り組みとして、サーバ管理者向けの内容から、パスワードの不備、フィッシング詐欺を助長しないための対策について紹介します。 |
||||||||||||
|
前のページ 1 2 3 |
||||||||||||
|
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。 本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf 脆弱性関連情報に関する届出について http://www.ipa.go.jp/security/vuln/report/index.html IPA(独立行政法人情報処理推進機構) http://www.ipa.go.jp/index.html IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター) http://www.ipa.go.jp/security/index.html |
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
