第4章 再帰問合せ設定
5. サービス運用妨害 6. セッション管理の不備
安全なウェブサイト運営入門
http://www.ipa.go.jp/security/vuln/7incidents/index.html
プレイヤーが主人公として 7つのセキュリティ事件を 題材に、ロールプレイング 形式で体験し、対応する。
z ダウンロード数
2008 年 6 月 ~ 2009 年 6 月の 約 1 年間で、 2 万 2150 件
(就業日 1 日平均約 90 件)
7つのインシデント
ウェブサイト運営者のための脆弱性対応ガイド
http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf
ウェブサイトで脆弱性が発見されたら?
ウェブサイト運営者に向けて、ウェブサイトの 脆弱性がもたらすトラブルや必要な対策の 概要、さらにウェブサイト運営者による脆弱性 対応の望ましい手順を紹介。
脆弱性や修正に関する基本的な知識。
脆弱性を放置することの問題。
外部から脆弱性の存在を指摘された場合 どうするべきか。
具体的な脆弱性の確認・修正の作業手順、
など
z ダウンロード数 22,586 件( 2008 年 2 月 28 日公開)
「生体認証システムの導入・運用事例集」他
• 各種啓発資料の作成 – 生体認証利用のしおり:
• 生体認証を使っていなかったり,不安がある利用者にむけた資料 – 生体認証導入・運用のためのガイドライン:
• 生体認証システムを管理する管理者にむけた資料 – 生体認証システムの導入・運用事例集:
• これから生体認証を導入するシステム構築者にむけた資料
• 生体認証に係る脆弱性についての報告書の公開
• 生体認証製品情報を収集したデータベース作成
生体認証利用のしおり
(2007年19日公開)
生体認証導入・運用の ためのガイドライン
(2007年12月公開 現在改訂作業中)
生体認証システムの 導入・運用事例集
(2008年8月公開 現在改訂作業中)
今後の活動
今後も国内外に関する生体認証のセキュリティに係 る事例の調査や脆弱性に関する情報を収集していく。
それらの結果を一般利用者やシステム管理者にむけた
啓発資料として取りまとめていく。
3.問題有無を確認する
セキュリティに関する作業を手作業で行なうと、設定ミスや 管理者のセキュリティ知識の程度や判断の相違などにより セキュリティ要件を損なう可能性大
⇒ 脆弱性対策に関わる処理の機械化の推進
ウェブサイトへの危険な攻撃と思われる痕跡を確認する。
「iLogScanner(ウェブサイトの脆弱性検出ツール)」
製品視点から脆弱性対策情報を選別する。
「MyJVN脆弱性対策情報収集ツール」
ソフトウェアのバージョンが最新であるかを確認する。
「MyJVNバージョンチェッカ」
iLogScanner(ウェブサイトの脆弱性検出ツール)
http://www.ipa.go.jp/security/vuln/iLogScanner/
ウェブサイトへの危険な攻撃と 思われる痕跡を確認する。
ウェブサイトのアクセスログ を解析し、攻撃痕跡の確 認が可能
一部の痕跡に関しては、
攻撃が成功した可能性を 確認可能
ただし、攻撃と思われる痕
跡を全て網羅し、確実に
検出するものではない。誤
検出もあり得る。
MyJVN脆弱性対策情報収集ツール
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html