 |
||||||||||||
|
||||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||||
|
||||||||||||
| Webサーバをリモート操作する際の認証方法として、パスワード認証以外の方法を検討する | ||||||||||||
|
これは、認証強度を高める運用です。 サーバ管理の上で、Webサーバのリモート操作を許可する運用は一般的ですが、その際の認証方法にパスワード認証のみを利用している場合、総当り攻撃などにより、パスワード認証を突破されてしまう可能性があります。 より高い安全性を確保するための方法として、公開鍵認証などの利用を検討することをお勧めします。 |
||||||||||||
| パスワード認証を利用する場合は、十分に複雑な文字列を設定する | ||||||||||||
|
これは、「Webサーバをリモート操作する際の認証方法として、パスワード認証以外の方法を検討する」の実施が難しい場合に必要な運用です。 Webサーバへ接続する際のパスワードには、十分に複雑な文字列を設定してください。また、パスワードの運用にについて、下記情報を参考にすることをお勧めします。 |
||||||||||||
| 不要なサービスやアカウントを停止または削除する | ||||||||||||
|
これは、攻撃の糸口を与えないための運用です。Webサイト運営に必要のないサービスがWebサーバ上で稼動している場合、そのサービスに対する管理が十分でなく、脆弱性が存在するバージョンをそのまま利用している可能性などが考えられます。 また、用途が明確でないユーザアカウントが存在している場合、そのアカウントに対する管理が十分でなく、不正利用される可能性が考えられます。必要の無いサービスやアカウントは停止または削除してください。 |
||||||||||||
| 公開を想定していないファイルを、Web公開用のディレクトリ以下に置かない | ||||||||||||
|
これは、情報漏えいを回避するための運用です。 Web公開用のディレクトリに保管されているファイル群は、基本的に外部から閲覧することが可能です。公開Webページにファイルへのリンクが無くても、外部から直接指定することで閲覧されてしまいます。 公開を想定していないファイルは、Web公開用のディレクトリに保管しないようにしてください。安全なWebサーバの構築方法と運用方法について、下記の資料もご参照ください。
参考URL
セキュアなWeb サーバの構築と運用に関するコンテンツ http://www.ipa.go.jp/security/awareness/administrator/secure-web/ |
||||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||||
|
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。 本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf 脆弱性関連情報に関する届出について http://www.ipa.go.jp/security/vuln/report/index.html IPA(独立行政法人情報処理推進機構) http://www.ipa.go.jp/index.html IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター) http://www.ipa.go.jp/security/index.html |
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
