2006年02月07日

Webサイト運営のセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はセールスプロモーション講座で、受験対策の時間は少ない。結局、帰りの電車の中で、Webサイト運営の「留意点」というもの一通り読んだ。

Webサイトに関して言えば、最も重要なことは、設計から実装の段階で、安全なサイトを作り上げること。そもそも脆弱性を組み込まないことが、スタンスとしては基本になる。とはいえ、時間の問題や実装にいたるスキルの問題など、脆弱性が残留することも往々にしてある。

さて、既に構築されてしまった場合、どう運営するのが良いのか。セキュリティの視点で見る、ということになる。

・まずはWebサーバの対策 OSやソフトのセキュリティホールはマメに埋めておく。メンテナンスのための認証はセキュアな方法を選ぶ。パスワードは充分な長さと複雑さを持たせる。不要なサービス・アカウントは削除する。公開目的以外のファイルをサーバに置かない。といったあたりが対策のポイント。
・DNSの設定の調査 DNSの設定情報を書き換えられると、気付かないうちに他のサイトに飛ばされることになる。
・ネットワーク盗聴対策 情報は暗号化が基本。特に、認証の際にもユーザー名・パスワードを平文で流すようなことはしない。メールでのパスワードなどはやり取りしない。個人情報の取得などにはSSLで保護した、フォームを活用する。
・パスワードの不備 初期に設定されるパスワードは、規則性を推定されないようにランダムなものを発行する。パスワード変更は現行パスワードの入力も行わせる。エラーメッセージによって第三者にヒントを与えない。
・フィッシング対策 自サイトがターゲットにされないために、電子証明書による実在性の証明。URLの表示。子フレームに外部のサイトを潜り込ませない。

ざっとあげても、かなりな数になる。意味とともに項目を「構造的に」理解して憶えておく必要があるのは、他の分野と同様である。テキストで間に合わないものは、ネット・入門書でもフォローは可能だ。
posted by tamaso at 23:52| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック

news/脆弱性検索結果
Excerpt: FrontPage 【脆弱性】検索ニュース † 【脆弱性】検索ニュース 【MSN サーチ ニュース】 【人力検索 はてな】 【BlogPeople】 注意事項 ..
Weblog: PukiWiki/TrackBack 0.2
Tracked: 2006-02-08 14:28
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。