Security

IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント」の重要な部分を抜粋する

投稿日:2016年9月29日 更新日:

2016-09-29_%e3%83%97%e3%83%ac%e3%82%b9%e7%99%ba%e8%a1%a8_cms%e3%82%92%e7%94%a8%e3%81%84%e3%81%9f%e3%82%a6%e3%82%a7%e3%83%96%e3%82%b5%e3%82%a4%e3%83%88%e6%a7%8b%e7%af%89%e3%81%ab%e3%81%8a%e3%81%91

1. はじめに

IPA が、CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント というプレス発表を行っていました。

実際のポイントは以下のページに資料が置いてあります。

重要なところを抜粋します(主に「対策」のところ)。

2. CMS を構築されたウェブサイトを狙う攻撃と対策

2.1. 脆弱性やウェブサイトの運用上の不備を悪用

2.1.1. ソフトウェアの脆弱性

(1) CMSや拡張機能の脆弱性を狙った攻撃

対策

  • CMS および CMS の拡張機能をアップデートする。
  • CMS の拡張機能を見直す。

(2) ほかのソフトウェアの脆弱性を狙った攻撃

対策

  • OS やそのほかのソフトウェアをアップデートする。

2.1.2. 運用上の不備

(1) ファイルの不適切な公開

対策

  • ファイルに適切なアクセス権を設定する。
  • セットアップ用ファイルや設定確認ファイルの削除、もしくはアクセス権を設定する。

(2) 不適切な権限付与

対策

  • ユーザーごとの業務遂行に必要な最適な権限を付与する。
  • 拡張子を指定するなど、アップロード可能なファイルを制限する。

2.2. 認証を突破

(1) CMS 認証画面への攻撃

対策

  • 認証画面をインターネット上に公開しない。
  • 強固なパスワードを使用する。
  • パスワードを使い回さない。
  • 認証画面を守るプラグインを導入する。

(2) CMS 認証画面以外への攻撃

対策

  • 強固なパスワードを使用する。
  • パスワードを使い回さない。
  • ログイン試行回数を制限する。
  • (管理画面がなく、サーバーに直接アクセスする場合) SSH公開鍵認証を使用する。

(3) 管理者の管理端末 (PC) からの情報窃取

対策

  • ウイルス対策ソフトの導入と定義ファイルの更新
  • OSやクライアントソフトウェア (Microsoft Office や Adobe Flash Player, Javaなど) のアップデートおよび不要なソフトウェアの削除
  • URL を不用意にクリックしない。
  • 本物のウェブサイトかどうかを慎重に確認する。

3. CMS を使ったウェブサイト構築・運用のポイント

3.1 情報セキュリティ対策が実施されている CMS の選定
3.2 適切なアクセス権の設定と確認
3.3 CMS で利用している拡張機能の見直し

  • 利用している拡張機能を洗い出す
  • 利用していない拡張機能は削除する
  • 利用している拡張機能は、最新版になっているかを確認し、最新版にアップデートする
  • 最終更新日から数年経過している拡張機能については、別の拡張機能の利用を検討する

3.4 アカウントの適切な管理

※ 今回のタイトルの「4つのポイント」は、この4項目を指しているようです。

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

Webのセキュリティに役立つWebサービス

目次1. 特定のホスト(サーバー)について調査する2. あるウェブページが安全であるかチェックする3. 特定のWebサイトのSSL設定をチェックする4. 短縮URLの元のURLを取得する5. その他 …

no image

Webサイト/スマートフォンに関するセキュリティインシデント情報

目次Webサイトに関するセキュリティインシデント情報のリンクスマートフォンに関するセキュリティインシデント情報のリンクその他 Webサイトに関するセキュリティインシデント情報のリンク 2016-11- …

Web Security

CSP Level 3 で Strict CSP を利用する

CSP Level 3 で Strict CSP を利用する方法について説明します。

no image

ウェブサイトの安全性向上のための取り組み – フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「フィッシング詐欺を助長しないための対策」の項目から一部抜粋する。(この資料はPDFでしか提供されていない) フィッシング詐欺 …

no image

ウェブサイトの完全 SSL/TLS 化が進んでいる

参考 Google、Chromeで半数以上がHTTPSを利用と発表 | マイナビニュース 2016/11/09 Chrome は Google にどこまでの情報を送っているのでしょうか? そこも気にな …