Security

IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント」の重要な部分を抜粋する

投稿日:2016年9月29日 更新日:

2016-09-29_%e3%83%97%e3%83%ac%e3%82%b9%e7%99%ba%e8%a1%a8_cms%e3%82%92%e7%94%a8%e3%81%84%e3%81%9f%e3%82%a6%e3%82%a7%e3%83%96%e3%82%b5%e3%82%a4%e3%83%88%e6%a7%8b%e7%af%89%e3%81%ab%e3%81%8a%e3%81%91

1. はじめに

IPA が、CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント というプレス発表を行っていました。

実際のポイントは以下のページに資料が置いてあります。

重要なところを抜粋します(主に「対策」のところ)。

2. CMS を構築されたウェブサイトを狙う攻撃と対策

2.1. 脆弱性やウェブサイトの運用上の不備を悪用

2.1.1. ソフトウェアの脆弱性

(1) CMSや拡張機能の脆弱性を狙った攻撃

対策

  • CMS および CMS の拡張機能をアップデートする。
  • CMS の拡張機能を見直す。

(2) ほかのソフトウェアの脆弱性を狙った攻撃

対策

  • OS やそのほかのソフトウェアをアップデートする。

2.1.2. 運用上の不備

(1) ファイルの不適切な公開

対策

  • ファイルに適切なアクセス権を設定する。
  • セットアップ用ファイルや設定確認ファイルの削除、もしくはアクセス権を設定する。

(2) 不適切な権限付与

対策

  • ユーザーごとの業務遂行に必要な最適な権限を付与する。
  • 拡張子を指定するなど、アップロード可能なファイルを制限する。

2.2. 認証を突破

(1) CMS 認証画面への攻撃

対策

  • 認証画面をインターネット上に公開しない。
  • 強固なパスワードを使用する。
  • パスワードを使い回さない。
  • 認証画面を守るプラグインを導入する。

(2) CMS 認証画面以外への攻撃

対策

  • 強固なパスワードを使用する。
  • パスワードを使い回さない。
  • ログイン試行回数を制限する。
  • (管理画面がなく、サーバーに直接アクセスする場合) SSH公開鍵認証を使用する。

(3) 管理者の管理端末 (PC) からの情報窃取

対策

  • ウイルス対策ソフトの導入と定義ファイルの更新
  • OSやクライアントソフトウェア (Microsoft Office や Adobe Flash Player, Javaなど) のアップデートおよび不要なソフトウェアの削除
  • URL を不用意にクリックしない。
  • 本物のウェブサイトかどうかを慎重に確認する。

3. CMS を使ったウェブサイト構築・運用のポイント

3.1 情報セキュリティ対策が実施されている CMS の選定
3.2 適切なアクセス権の設定と確認
3.3 CMS で利用している拡張機能の見直し

  • 利用している拡張機能を洗い出す
  • 利用していない拡張機能は削除する
  • 利用している拡張機能は、最新版になっているかを確認し、最新版にアップデートする
  • 最終更新日から数年経過している拡張機能については、別の拡張機能の利用を検討する

3.4 アカウントの適切な管理

※ 今回のタイトルの「4つのポイント」は、この4項目を指しているようです。

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

HTML Purifier の使い方

目次HTML Purifier についてComposerで使う方法1. composer.json の require に、以下を追記する2. composer update する3. 実際に使うHT …

no image

CSRF(クロスサイト・リクエスト・フォージェリ) by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「CSRF(クロスサイト・リクエスト・フォージェリ)」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要 …

セキュリティ

アプリケーションをインストールする際は、事前に実行ファイルのウイルスチェックを行っておきましょう

目次1. はじめに2. VirusTotal とは?3. VirusTotal(日本語ページ)を使う手順4. VirusTotal(英語ページ)を使う手順5. おわりに 1. はじめに 以下の状況にお …

セキュリティ

セキュリティの会社も疑ってみる

セキュリティの会社であっても営利企業なので、いろいろ思惑があって動くこともありますよ。 気を付けましょう。 全く出鱈目な注意喚起。対策の案内が出鱈目。https://t.co/gTCApCppvV(ネ …

no image

パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。(この資料はPDFでしか提供されていない) …