TOP
>
情報セキュリティ
> セキュリティガイドラインの作成
クラッカーから企業Webサイトを守り抜け!
第4回:Webサイトのセキュリティを維持・向上する施策
著者:
NRIセキュアテクノロジーズ 木村 尚亮
2006/11/30
前のページ
1
2
3
次のページ
セキュリティガイドラインの作成
ガイドラインの作成は自社で行っているケースもあれば、外部の専門業者に委託しているケースもあります。また、作成するガイドラインの分類は各社によって異なりますが、Webサイトの構成要素別に作成するケースが多いようです。例えば、Webアプリケーション開発ガイドライン、OS設定ガイドライン、ミドルウェア設定ガイドライン、データベース設定ガイドライン、といった分類です。この中でOS、ミドルウェア、データベースについて、具体的な設定に落とし込むためにプロダクト別のガイドラインを設けている場合もあります。
ガイドラインを作成する際に参考となる情報を以下に示します。
IPA:安全なウェブサイトの作り方 改訂第2版
http://www.ipa.go.jp/security/vuln/websecurity.html
データベースセキュリティガイドライン:
http://www.db-security.org/report.html
SANS Step-by-Stepシリーズ
http://sans-japan.jp/sbs/sbs.html
また、ガイドラインの各対策項目には優先度をつけることを推奨します。ガイドラインの網羅性が高まるほど、顧客要件や利便性との比較から対策を見送る項目がでてきますが、優先度があれば、開発担当者が対策の必要性を判断するための基準として利用できます。優先度付けの例を以下に示します。
必須
権限のない第三者にサーバが不正アクセスを受けたり、ユーザの個人情報が漏洩したりするなど、危険性の高いセキュリティホールにつながる可能性の高い項目。必ず対策を講じる必要がある。
推奨
重大なセキュリティホールにつながる可能性があるが、システムの性質によってはリスクを許容できる場合もある項目。対策できない妥当な理由がある場合を除き、対策を講じる必要がある。
任意
重大なセキュリティホールにつながる可能性は極めて低いが、セキュリティの向上に寄与する項目。実装にかかる工数やユーザの利便性などを考慮して、適宜取捨選択して対策を講じる。
表1:セキュリティの優先度付けの例
ガイドラインが完成しても、現場に認知され、利用されなければ意味がないため、普及活動が必要となります。社内のイントラネットやメールなどでアナウンスするだけでなく、開発担当者向けに説明会を開催したり、上層部の集まる会議で紹介したりするなど、利用を促進するための工夫が必要となります。
また、ガイドラインも一度作れば終わりということもなく、メンテナンスは欠かせません。新たな攻撃手法や脅威、セキュリティの観点について追記したり、ガイドラインに記載されている脆弱性を現場が作り込んでしまう場合には、記載内容を見直したりする必要があります。開発現場からのフィードバックやセキュリティ診断の結果も盛り込んで行く必要があります。
前のページ
1
2
3
次のページ
著者プロフィール
NRIセキュアテクノロジーズ株式会社 木村 尚亮
1998年に野村総合研究所に入社。入社時より情報セキュリティ事業に携わる。2000年のNRIセキュアテクノロジーズの立ち上げとともに同社へ出向。セキュリティシステムの導入や不正アクセス監視などの業務を経て、現在はセキュリティ診断や不正アクセス調査などの業務に従事している。
INDEX
第4回:Webサイトのセキュリティを維持・向上する施策
はじめに
セキュリティガイドラインの作成
開発工程別で必要となるセキュリティ施策
