SQL文例
3.2 セキュリティ確保のための基本対策
セキュアなウェブサイトを構築・維持するためには、全体を見通し た出来るだけ漏れがない対策を、組織的に実施することが重要。
セキュリティ予算確保
開発の委託
セキュアな開発
適切なサーバ構築 ID
・パスワードの強化
設定情報のバックアップ・ログ収集
セキュリティ対策機器の導入・監視
セキュリティ監査
セキュリティ事故発生を想定した体制作りと運用
セキュリティメンテナンス製 サ
製 サ 製 サ 製 サ
この基本対策は、自社でウェブサイトを 構築管理している事を対象としている。
ソフトウェア製品利用時には
⇒
サービス利用時には⇒
製 サ
セキュリティ予算確保
z セキュリティ確保のために予算化
ウェブサイト運営にはセキュリティ対策の責任がある。
セキュリティ対策や維持には相応の費用が必要。
•
脆弱性を作り込まぬために必要な費用•
セキュリティは時間と共に強度が低下するため維持する費用ウェブサイト運営の企画段階から開発や運用に必要な セキュリティ予算を検討し確保する。
z 上司や予算担当者への説得
セキュリティ対策の重要性と必要費用を説明。
セキュリティ対策は費用対効果が計りづらいものだが、安全 性を訴えた積極的なサイト運営を特色とするのも手ではない か。
製 サ
開発の委託
z セキュリティ発注要件の必要性
従来の開発では、契約上セキュリティに関する要件は十分 な内容ではなかった。
その結果、脆弱性のようなセキュリティに関する問題が発覚 しても、委託側・受注側ともに不幸な結果を招く事が多い。
特に委託側に新たな費用を必要とする傾向がある。
z セキュリティ要件を盛り込む
瑕疵担保契約にて責任を明確する。
発注仕様や要求仕様に具体的な要求仕様を盛り込む。
http://www.jnsa.org/active/2005/active2005_1_4a.html
¾
参考:JNSA
セキュアシステム開発ガイドライン「
Web
システム セキュリティ要求仕様(RFP
)」編β
版セキュアな開発
セキュリティを確保したウェブアプリケーションの 開発にはセキュリティ(脆弱性)の知識が必須。
自社で開発する上では十分理解する必要がある。
z 脆弱性の理解
脅威の仕組みや問題の原因を正しく理解する。
•
「知っていますか?脆弱性(ぜいじゃくせい)」z 安全なプログラミング
安全にプログラムを作成する知識を身に付ける。
•
「安全なウェブサイトの作り方」•
「セキュア・プログラミング講座」z セキュリティを考慮したシステム構成
ネットワークセグメントの分離
•
外部セグメント、DMZ
(非武装地帯)の設置、内部セグメントz サーバ要塞化
最小構成
•
不要なサービスの停止•
不要なアプリケーションの削除最新のソフトウェア構成 アクセスコントロール設定
•
職務に応じた適切なアクセス権適切なサーバ構築
インター ネット
ファイアウォール
ウェブサーバ メールサーバ DNSサーバ
DBサーバ
DMZ 内部セグメント 外部
セグメント
ID ・パスワードの強化
z パスワード管理を徹底
不要なアカウントの削除
辞書に載っている文字列は使わない
長くて複雑なパスワード設定(英字+数字+記号)
z SSH 接続を使う場合
公開鍵認証方式を利用
パスワードをどうしても利用する場合は徹底管理
製 サ