IPA、「安全なウェブサイトの作り方」（改訂第3版）を公開〜SQLインジェクションなどの脆弱性事例を追加

　独立行政法人情報処理推進機構（IPA）は6日、「安全なウェブサイトの作り方　改訂第 3版」を公開した。

　「安全なウェブサイトの作り方」は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするため、IPAが届出を受けた脆弱性関連情報を基に作成した資料集。届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性が取り上げられている。

　今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な8つの「失敗例」が第3章に追加された。また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策が新たな節として追加された。本資料で取り上げられている内容は、ウェブサイトに関する届出件数の約9割を網羅しているとのこと。

　第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティングなど9つの項目について、根本的な解決策、保険的な対策が説明されている。

　第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策やフィッシング詐欺を助長しないための対策など5つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させる対策が示されている。

　第3章では、「失敗例」として、SQLインジェクションとクロスサイト・スクリプティングの脆弱性が取り上げられている。

　巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付与されている。