セキュアなウェブサイトの提供
ウェブサイトをインターネット上に公開することによって新たなリスクとしてさまざまな攻撃、情報の漏洩などがリスクとして発生します。 したがって、ウェブサイトでは攻撃があっても十分に堅牢な対策が必要です。
ウェブサイトへの攻撃は、 セキュリティ
をご覧ください。
当事業所では、ウェブサーバー構築においてセキュアなウェブサイトとするための対策を行っております。
攻撃への対応
当事業所が行うウェブサイトの安全性を高めるための対策にはさまざまなものがあります。 ただし、ここに記載したことは防止策の一部です。他の対策も実施して万全を期しています。
OSレベルで行う方法
当事業所ではSELinuxをウェブサーバーのOSとして利用し、Enhancedモードで動作させることを基本にしており、よりセキュリティの高いウェブサイト構築ができます。 また、IPアドレスレベルで、国外からの不要なアクセスを排除したり、必要なポートのみ開く設定としています。
| セキュアOSの採用 | SELinuxをウェブサーバーとして採用 |
|---|---|
| セキュアモードでの運用 | Enforcingモードで動作させる |
| OSのファイアウォールを設定 | ウェブサイトとして必要なポート以外のポートは閉じる パケットフィルタリングを設定 |
sshdへの不正アクセス ユーザーへのアクセス |
パケットフィルタリングを設定 攻撃者から予測できないパスワードの設定(短いパスワードを制限) |
| 不正メールの踏み台 | パケットフィルタリングを設定 |
ウェブアプリケーションにおける防御
クライアントとのインターフェースとなるウェブアプリケーションであるウェブページなどは、より安全に配慮して制作することが重要です。
| 情報の制限 | バナー情報を表示しない |
|---|---|
| SQLインジェクションの防止 | 入力データのサニタイズ バインド機構の採用 ストアドプロシージャの利用 |
| ディレクトリトラバーサルの防止 | 入力パラメーターにファイル名などを入れない |
| セッションIDの適切な使用 | セッションIDが推測されたり盗用されないスクリプトの使用 |
| その他 | パケットフィルタリングを設定 |
通信回線における防御
通信回線との間にあるブロードバンドルーターをファイアウォールとして動作するよう設定します。
| ファイアウォールの設定 | ポートフォワーディング機能 |
|---|---|
| データベースへの不正アクセスによる情報漏洩 | サニタイズの実施(SQLインジェクションへの対応) |
| 通信回線における情報漏洩 | 暗号化機能を付加したHTTPのプロトコルTLS/SSLを採用(費用がかかります) |