noahnoah研究所

IPAが「安全なウェブサイトの作り方　改訂第2版」を発行したようです。

目次を見れば分かりますが、今回はCSRF（クロスサイトリクエストフォージェリ)とHTTPヘッダインジェクションが新たに追加されています。

目　次 はじめに 本資料の内容 問題の解決、対策について 1. ウェブアプリケーションのセキュリティ実装 　1.1 SQL インジェクション 　1.2 OS コマンド・インジェクション 　1.3 パス名パラメータの未チェック／ディレクトリ・トラバーサル 　1.4 セッション管理の不備 　1.5 クロスサイト・スクリプティング 　1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 　1.7 HTTP ヘッダ・インジェクション 　1.8 メールの第三者中継 2. ウェブサイトの安全性向上のための取り組み 　2.1 ウェブサーバのセキュリティ対策 　2.2 DNS 情報の設定不備 　2.3 ネットワーク盗聴への対策 　2.4 パスワードの不備 　2.5 フィッシング詐欺を助長しないための対策 おわりに 参考資料 用語集 チェックリスト

資料は読みやすく教科書としても使えると思います。

経営者は自社サイトがセキュリティを考慮したサイトになっているか、この資料を基にチェックさせた方がいいですね。

特に通販関係の会社で、サイト経由で情報漏洩事件など起こしたら、会社が潰れるかもしれません。

また、これから利用しようとするサイトが安全なのか、攻撃を試みる以外に調べようがないので、政府関係機関などが抜き打ちでペネトレーションテストを実施するなどして、サイトの安全性をチェックし、問題があればサイトを休止・閉鎖させるべきだと思います。

まあ、いくらサイトの安全性を高めても、スタッフが顧客情報を社外に持ち出して売ったり、Winnyなどで漏洩させてしまっては意味が無いのですが。