• ゲスト様ようこそ
  • ログイン
  • 新規登録
  • ヘルプ
  • 「Bizメール&ウェブ ビジネス(ライト/ベーシック)」をマイサポートに登録します。

    • 登録する
    • キャンセル

セキュリティ対策ポイント

コンピュータウイルス、ワームや不正アクセスをはじめとしたさまざまな脅威が顕在化し、被害も後を絶ちません。
セキュリティに対するリスク管理は避けられない経営課題で、セキュリティの重要性はお客さまもご認識されていることと存じます。
NTTコミュニケーションズでは、サーバープラットフォームを監視しコンピュータウイルス、ワームやクラッキング等の攻撃行動に対応し、現在考えられる最善のセキュリティ対策を実施しています。
しかし、不適切なパスワードやお客さまご自身でインストールされたアプリケーションのセキュリティの脆弱性を足がかりに、お客さまのサーバーに不正侵入される危険性がございます。
従って、セキュリティ対策にはNTTコミュニケーションズ側だけでなく、お客さまご自身での配慮と対処も必要です。

「こんなはずでは・・・」と思ったときには、もう手遅れ。セキュリティの事故を防止するには、脆弱性をできるだけ少なくすることが大切です。もう一度、セキュリティ対策を確認してみましょう。

■お客さまに気をつけていただきたいこと

  • 常に100%安全な状況を保つことは現実的に不可能です。
  • 2重、3重のガードでリスクを軽減することが重要です。
  • セキュリティ確保にはNTTコミュニケーションズ側だけでなくお客さま側での配慮も必要です。

■ファイル管理上の注意

Webサーバーでファイルを公開する場合、ファイルアクセス権の設定ミスがお客さまサーバーの脆弱性につながり、情報を不正利用されるといった危険性があります。設定ミスがないかもう一度確認し適切な権限設定を実施し、またアクセス制御することでセキュリティの強度を高めましょう。

◇アクセス制限
アクセスユーザーを限定したいファイルやフォルダには、ユーザー認証でアクセス制御を行います。

■CGIプログラム作成上の注意

CGI(Common Gateway Interface)はインタラクティブなサイトを作る上で必要不可欠なものですが、サーバー上でプログラムが動作するものであるため、利用の仕方によっては以下のような問題を発生させることがあります。

◇サーバー上で予期せぬコマンドやプログラムの実行

ユーザーからの入力内容が適切にフィルタされていないと、サーバー上で予期せぬOSのシステムコマンドなどが実行されたり、Webアプリケーションからデータベースを操作するために使われるSQLを偽造してデータベースの操作を実行される危険性があります。

◇クロスサイトスクリプティング

クロスサイトスクリプティング(XSS)と呼ばれる脆弱性をついた、ないし CGIプログラムの隙を突いた攻撃によって、サーバーで認証を行うユーザーのcookieが盗まれ、悪意を抱いた利用者によって認証をパスされるといった情報の漏洩・乗っ取りなどの危険性があります。

◇不用意な権限設定

setuid は、プログラム実行時アカウントを一時的に変更することでroot 権限プログラムの実行を可能にする機能です。不要なroot権限プログラム実行によるサーバー管理権限の乗っ取りといった危険性があります。

◇ファイル内容の漏洩

通常のブラウジングではアクセスするはずのないURLを入力するといった手段によって、任意のファイルが読み出されてしまうといったお客さま機密情報漏洩の危険性があります。

◇サービス停止

確保したメモリ領域(バッファ)の許容量を超えるようなデータを送りつけ、データがあふれることでプログラムの暴走を狙った攻撃を受ける危険性があります。

◇エラーコードの出力

Webアプリケーションのエラーコードも悪意を抱いた利用者の活動を支援してしまう(ホストやプログラムに関する)情報漏洩の危険性があります。

これらにより、お客さまに以下のような不具合が発生することが予想されます。

◇サービスダウン・Webコンテンツ改ざん
  • サーバー上で予期せぬプログラムを実行させたり、CGI自体を暴走させるなどの行為により、サービスを停止させられる危険性があります。
  • またWebサイト自体の内容を書き換えられてしまう事もあります。
◇情報漏洩

CGIで収集した顧客の個人情報の漏洩や、サーバー運用上秘密にすべきパスワードや設定情報、外部に公開する予定の無い文書などが漏洩する危険性があります。

◇乗っ取り、踏み台

CGIを通じてパスワードを盗まれたり管理者権限のコマンドを実行されるなどの行為により、サーバーそのものを乗っ取られ、情報漏洩のみならず他者への攻撃の踏み台に利用される恐れがあります。

以上のような危険を避けるため、CGI の設置に当たっては細心の注意を払う必要があります。具体的には以下のURL などを参照の上、上記のような問題が発生しないことを確認してご利用ください。

参考URL

情報処理推進機構:セキュリティセンター

参考情報:IPA ISEC セキュア・プログラミング講座
IPAセキュリティセンタさまのトップページにあるサイト内検索で「セキュア・プログラミング講座」で検索し参照ください。

このページのトップへ

.*