あなたのウェブ戦略を支える【WEBの味方】 produced by connecnect

WEBディレクターの本音ブログ

知らなかったでは済まされない!? 安全なWebサイトのつくり方の実現法

      2015/09/24


セキュリティ

ここ数ヶ月、企業や官公庁からの個人情報流出事件やサイバー攻撃に関するニュースが絶えない。
これはインターネット業界の端でWeb制作に携わっている我々にとっても見逃せない話だ。

そんな折、現在進行中の制作案件において「セキュリティ方針を打ち出してほしい」とクライアントから要望が入った。

今までそのような手配の全く必要の無かったクライアント内でも、昨今のセキュリティ関連のニュースに意識をはらう必要が出てきたのであろう。

そんな相手の胸中を察し、対応することにした。

そんな方針を打ち出すための情報源としてIPA(独立行政法人情報処理推進機構)の「安全なウェブサイトの作り方」が参考になる。

 IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html

Web制作を生業にしながら、このような情報に触れたことがない方々もいるのではないだろうか。
そういった方々は、今回を期に一読しておくと良いだろう。

これには、SQLインジェクションOSコマンドインジェクションクロスサイトスクリプティングといった、Web制作に直結したよく使われる攻撃方法についての解説や対策方法がまとめられている。

これを読むと、さまざまな技術の導入が可能となった昨今のWebサイトでは、知らず知らずに多数の脅威にさらされているということが実感できるだろう。

DBでの動的なサイト構成フォーム入力による実行処理など、便利になるほどこのセキュリティホールは広がっていく。

また、これらのリスクは、制作体制の管理・監視等にも関係してくるといえる。
それは、インターネットメディアの発展における情報発信側(官公庁・企業・団体)のWebサイト利用が拡大されていく現在の制作案件において、大規模サイトの構築依頼が目に見えて増えてきたことがあげられる。

これにより、依頼されたWebサイトの設計・構築には他業種多人員が係り、それぞれが複雑に関与しながら遂行するという工程を余儀なくされる。また、構築後の運用に関しても、多様な業種と人間によって運用されていくことになる。

このような状況下で、悪意のあるコードの進入を防ぐためにはどうしたらよいのか?を常時考えておかなければならない。
またこの監視は、技術の進歩と共に進化させ、経験したことのない脅威に迅速に対応しなければならないという、非常に高度な体制を要求されていることになる。

Web制作に携わる我々は、このような脅威と「常に背中合わせ」であるということを自覚し、その発生を防ぐための取組みを怠ってはならない。

読了ありがとうございました。


 - エッセイ, ビギナー向け, マネジメント, 現状報告

Message

メールアドレスが公開されることはありません。