安全なWebサイト運営の鉄則＆知っていますか？脆弱性 (ぜいじゃくせい)

金融系のサイトなどではセキュリティに気を配っているとは思いますが、あなたのサイトのセキュリティは大丈夫ですか？ フィッシングなどで利用者が被害に遭うことはユーザーの責任だともいえますが、そうならないために、Web担当者であるあなたができることもあるのです。

独立行政法人 産業技術総合研究所（AIST）の情報セキュリティセンター（RCIS）が、「安全なWebサイト利用の鉄則」というドキュメントを公開しています。基本的にはネット利用者向けのコンテンツなのですが、そのなかに「サイト運営者の鉄則」というパートがありますので、ご紹介を。

ドキュメントでは、「サイト運営者は、利用者をフィッシングの手口から守るため、以下の要件を満たすようサイトを設計、実装、運営するべきです。」として、次の8点を挙げています。

• アドレスバーやステータスバーを隠さない
• 入力ページを https:// にする
• 正規のサーバ証明書を購入してSSLを運用する
• サービス提供者が保有するドメイン名を使う
• まぎらわしくないドメイン名を使う
• ドメイン名を利用者に周知する
• 検索誘導広告を使わない
• サイトからクロスサイトスクリプティング脆弱性を排除する

2007年3月に公開されたドキュメントですから、多少古いといえば古いのですが、理解しておいて損はないですし、簡潔にまとめられているのがいいですね。

Web担的には、「検索誘導広告を使わない」がなかなか紹介するには悩ましいところなのですが、「フィッシングの偽サイトが検索結果の上位に現れてしまう可能性を否定できません」というのも、ごもっとも。一時期「○○で検索」がモーレツに流行したときに、露出量の多い「○○で検索」をうまく使えばタダ乗りで自サイトへの誘導を増やせると思ったものです。

ちなみに技術的な面（特にサービス系のサイト向け）では、ここで挙げられているクロスサイトスクリプティング（XSS）以外にも、SQLインジェクション、クロスサイトリクエストフォージェリ（CSRF）、ディレクトリトラバーサルなど、注意すべきポイントはたくさんあり、対策を怠ると個人情報を盗まれるなどのインシデントに発展しかねません。そのあたりの情報は、独立行政法人 情報処理推進機構（IPA）がセキュリティセンターで公開している「知っていますか？脆弱性 (ぜいじゃくせい)」をチェックしてみてください（こちらは2007年7月12日公開）。

• 安全なWebサイト利用の鉄則 / サイト運営者の鉄則
  → http://www.rcis.aist.go.jp/special/websafety2007/admin1.html
  （産業技術総合研究所　情報セキュリティセンター）
• 知っていますか？脆弱性 (ぜいじゃくせい)
  －アニメで見るウェブサイトの脅威と仕組み－
  → http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
  （情報処理推進機構　セキュリティセンター）

この記事は、メールマガジン「Web担ウィークリー」やINTERNET Watchの「週刊　Web担当者フォーラム通信」に掲載されたコラムをWeb担サイト 上に再掲したものです。