情報処理推進機構が「安全なウェブサイトの作り方」で11種類の脆弱性を紹介

独立行政法人の情報処理推進機構(IPA)から2015年3月12日、「安全なウェブサイトの作り方」改訂第7版が公表されました。
 

安全なウェブサイトの作り方とは

「安全なウェブサイトの作り方」は、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料という位置づけです。
 

11種類の脆弱性

「安全なウェブサイトの作り方」では、11種類の脆弱性を取り上げて、チェックリストを提供しています。
 
そして、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる保険的対策を提示しています。
 
11種類の脆弱性は以下の通りです。
 

  • SQLインジェクション
  • OSコマンド・インジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • セッション管理の不備
  • クロスサイト・スクリプティング
  • CSRF(クロスサイト・リクエスト・フォージェリ)
  • HTTPヘッダ・インジェクション
  • メールヘッダ・インジェクション
  • クリックジャッキング
  • バッファオーバーフロー
  • アクセス制御や認可制御の欠落

たとえば、クロスサイト・スクリプティングの根本的な解決策として、ウェブページに出力する全ての要素に対して、エスケープ処理を施すなどをあげています。
 

まとめ

Webサイトの開発者や運営者にとってセキュリティ対策は幅広いですが、まずは、安全なウェブサイトの作り方」に記載されている11種類の脆弱性のセキュリティ対策から確実に実施していく必要があるといえます。