Security

IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント」の重要な部分を抜粋する

投稿日:2016年9月29日 更新日:

2016-09-29_%e3%83%97%e3%83%ac%e3%82%b9%e7%99%ba%e8%a1%a8_cms%e3%82%92%e7%94%a8%e3%81%84%e3%81%9f%e3%82%a6%e3%82%a7%e3%83%96%e3%82%b5%e3%82%a4%e3%83%88%e6%a7%8b%e7%af%89%e3%81%ab%e3%81%8a%e3%81%91

1. はじめに

IPA が、CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント というプレス発表を行っていました。

実際のポイントは以下のページに資料が置いてあります。

重要なところを抜粋します(主に「対策」のところ)。

2. CMS を構築されたウェブサイトを狙う攻撃と対策

2.1. 脆弱性やウェブサイトの運用上の不備を悪用

2.1.1. ソフトウェアの脆弱性

(1) CMSや拡張機能の脆弱性を狙った攻撃

対策

  • CMS および CMS の拡張機能をアップデートする。
  • CMS の拡張機能を見直す。

(2) ほかのソフトウェアの脆弱性を狙った攻撃

対策

  • OS やそのほかのソフトウェアをアップデートする。

2.1.2. 運用上の不備

(1) ファイルの不適切な公開

対策

  • ファイルに適切なアクセス権を設定する。
  • セットアップ用ファイルや設定確認ファイルの削除、もしくはアクセス権を設定する。

(2) 不適切な権限付与

対策

  • ユーザーごとの業務遂行に必要な最適な権限を付与する。
  • 拡張子を指定するなど、アップロード可能なファイルを制限する。

2.2. 認証を突破

(1) CMS 認証画面への攻撃

対策

  • 認証画面をインターネット上に公開しない。
  • 強固なパスワードを使用する。
  • パスワードを使い回さない。
  • 認証画面を守るプラグインを導入する。

(2) CMS 認証画面以外への攻撃

対策

  • 強固なパスワードを使用する。
  • パスワードを使い回さない。
  • ログイン試行回数を制限する。
  • (管理画面がなく、サーバーに直接アクセスする場合) SSH公開鍵認証を使用する。

(3) 管理者の管理端末 (PC) からの情報窃取

対策

  • ウイルス対策ソフトの導入と定義ファイルの更新
  • OSやクライアントソフトウェア (Microsoft Office や Adobe Flash Player, Javaなど) のアップデートおよび不要なソフトウェアの削除
  • URL を不用意にクリックしない。
  • 本物のウェブサイトかどうかを慎重に確認する。

3. CMS を使ったウェブサイト構築・運用のポイント

3.1 情報セキュリティ対策が実施されている CMS の選定
3.2 適切なアクセス権の設定と確認
3.3 CMS で利用している拡張機能の見直し

  • 利用している拡張機能を洗い出す
  • 利用していない拡張機能は削除する
  • 利用している拡張機能は、最新版になっているかを確認し、最新版にアップデートする
  • 最終更新日から数年経過している拡張機能については、別の拡張機能の利用を検討する

3.4 アカウントの適切な管理

※ 今回のタイトルの「4つのポイント」は、この4項目を指しているようです。

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Web Security

JVN iPediaに載っていた脆弱性を調査する

JVN iPedia という脆弱性対策情報データベースの Webサイトがあるのですが、そこに載っていた JVNDB-2016-005868 という脆弱性情報について調査する過程を紹介します。 調査 ま …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …

PHP

Laravel 5 でのセキュリティ対策 (PHP)

目次1. ユーザーによる入力値の検証入力パラメータ値のエンコーディングが正しいことをチェックするMiddlewareの例制御文字を禁止するバリデーションルールを追加する例1. バリデーション用のクラス …

no image

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: Injection, Inject via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクシ …

no image

クリックジャッキング(Clickjacking)対策

対策 方法1:CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。 方法2:HTTP レスポンスヘッダに、X-Frame-Options …