サービス名から探す : Bizメール&ウェブ プレミアム r3に関するご利用ガイド
セキュリティ対策ポイント
セキュリティ対策ポイント
1.注意事項
コンピュータウイルス、ワームや不正アクセスをはじめとしたさまざまな脅威が顕在化し、被害も後を絶ちません。
セキュリティに対するリスク管理は避けられない経営課題で、セキュリティの重要性はお客さまもご認識されていることと存じます。
NTTコミュニケーションズでは、サーバープラットフォームを監視しコンピュータウイルス、ワームやクラッキング等の攻撃行動に対応し、現在考えられる最善のセキュリティ対策を実施しています。
しかし、不適切なパスワードやお客さまご自身でインストールされたアプリケーションのセキュリティの脆弱性を足がかりに、お客さまのサーバーに不正侵入される危険性がございます。
従って、セキュリティ対策にはNTTコミュニケーションズ側だけでなく、お客さまご自身での配慮と対処も必要です。
「こんなはずでは・・・」と思ったときには、もう手遅れ。セキュリティの事故を防止するには、脆弱性をできるだけ少なくすることが大切です。もう一度、セキュリティ対策を確認してみましょう。
◆お客さまに気をつけていただきたいこと
- 常に100%安全な状況を保つことは現実的に不可能です。
- 2重、3重のガードでリスクを軽減することが重要です。
- セキュリティ確保にはNTTコミュニケーションズ側だけでなくお客さま側での配慮も必要です。
◆ファイル管理上の注意
Webサーバーでファイルを公開する場合、ファイルアクセス権の設定ミスがお客さまサーバーの脆弱性につながり、情報を不正利用されるといった危険性があります。設定ミスがないかもう一度確認し適切な権限設定を実施し、またアクセス制御することでセキュリティの強度を高めましょう。
- ◇アクセス制限
- アクセスユーザーを限定したいファイルやフォルダには、ユーザー認証でアクセス制御を行います。
■CGIプログラム作成上の注意
CGI(Common Gateway Interface)はインタラクティブなサイトを作る上で必要不可欠なものですが、サーバー上でプログラムが動作するものであるため、利用の仕方によっては以下のような問題を発生させることがあります。
- ◇サーバー上で予期せぬコマンドやプログラムの実行
ユーザーからの入力内容が適切にフィルタされていないと、サーバー上で予期せぬOSのシステムコマンドなどが実行されたり、Webアプリケーションからデータベースを操作するために使われるSQLを偽造してデータベースの操作を実行される危険性があります。
- ◇クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)と呼ばれる脆弱性をついた、ないし CGIプログラムの隙を突いた攻撃によって、サーバーで認証を行うユーザーのcookieが盗まれ、悪意を抱いた利用者によって認証をパスされるといった情報の漏洩・乗っ取りなどの危険性があります。
- 参考URL:@ITさま クロスサイトスクリプティング対策の基本
- ◇不用意な権限設定
setuid は、プログラム実行時アカウントを一時的に変更することでroot 権限プログラムの実行を可能にする機能です。不要なroot権限プログラム実行によるサーバー管理権限の乗っ取りといった危険性があります。
- ◇ファイル内容の漏洩
通常のブラウジングではアクセスするはずのないURLを入力するといった手段によって、任意のファイルが読み出されてしまうといったお客さま機密情報漏洩の危険性があります。
- ◇サービス停止
確保したメモリ領域(バッファ)の許容量を超えるようなデータを送りつけ、データがあふれることでプログラムの暴走を狙った攻撃を受ける危険性があります。
- ◇エラーコードの出力
Webアプリケーションのエラーコードも悪意を抱いた利用者の活動を支援してしまう(ホストやプログラムに関する)情報漏洩の危険性があります。
これらにより、お客さまに以下のような不具合が発生することが予想されます。
- ◇サービスダウン・Webコンテンツ改ざん
-
- サーバー上で予期せぬプログラムを実行させたり、CGI自体を暴走させるなどの行為により、サービスを停止させられる危険性があります。
- またWebサイト自体の内容を書き換えられてしまう事もあります。
- ◇情報漏洩
-
- CGIで収集した顧客の個人情報の漏洩や、サーバー運用上秘密にすべきパスワードや設定情報、外部に公開する予定の無い文書などが漏洩する危険性があります。
- ◇乗っ取り、踏み台
-
- CGIを通じてパスワードを盗まれたり管理者権限のコマンドを実行されるなどの行為により、サーバーそのものを乗っ取られ、情報漏洩のみならず他者への攻撃の踏み台に利用される恐れがあります。
以上のような危険を避けるため、CGI の設置に当たっては細心の注意を払う必要があります。具体的には以下のURL などを参照の上、上記のような問題が発生しないことを確認してご利用ください。
2.これだけは実施しましょう!セキュリティ対策
以下のセキュリティ対策を実施し、お客さま環境を常に最新の状態にしていただくことを強くお勧めします。
◆ご利用のソフトウェア・WindowsOSなどのアップデート
広く普及しているソフトウェアやOSは不正アクセスの対象となる可能性が高まります。
ソフトウェアのご利用については特に注意し、セキュリティ対策を実施してください。
- ◇対策
-
- Adobe Reader、Adobe Acrobat、Flash Player、InternetExplorer などの最新版へのアップデート
- WindowsOSやMicrosoft社製品(WordやExcelなど)のセキュリティアップデート
- サポートが終了したOSを使用しない
- 独自CGIや独自PHPのセキュリティ対策の見直し
- 不要なソフトウェアはインストールしない
- WordPressに導入しているプラグインソフトのセキュリティ情報を常にチェックし、セキュリティアップデートを定期的に実行する
◆ウイルス対策
お客さまご利用のPCも、以下のとおり、ウイルスに対するセキュリティ対策が必要です。
- ◇対策
-
- ウイルス対策ソフトの導入とウイルス定義ファイルの最新版へのアップデート
- 怪しいホームページからダウンロードしたファイルを実行しない
- 信頼できない発信元から送付されたメールに添付されたファイルを不用意に開封しない
- 信頼できない発信元から送付されたメールに記載されたURLへ不用意にアクセスしない
- ファイル共有ソフトで違法なコンテンツをダウンロードしない
◆パスワード設定
ユーザーアカウントを適切に管理し、セキュリティレベルを高めてください。簡単なユーザーID/パスワード設定は悪意のある第3者に不正利用されるリスクが高まります。連想されやすい安易なパスワードをご利用の場合、パスワードの変更を実施してください。
- ◇対策
-
- 複雑な組み合わせを持つパスワード設定への見直し
- コントロールパネルのログインパスワード
- WordPressのログインパスワード
- FTPのログインパスワード
- お客さまのアカウントもしくは各サブアカウントのログインパスワード - パスワードを定期的に変更する
- 複雑な組み合わせを持つパスワード設定への見直し
参考 : 簡易なパスワード設定の危険性
◆その他
日常から、セキュリティ対策を実施することが重要です。
- ◇対策
-
- セキュリティ対策が施されていない無線LAN環境での通信を控える
- 暗号化方式をWPA/WPA2にする(暗号化なし、やWEPでの暗号化の無線LAN環境は使用しない) - SSL通信をしていない状態でのID/パスワード入力を控える
- PCや携帯端末には必ずパスワードロックをかける
- ID/パスワードを手書きメモなどで残さない
- セキュリティ対策が施されていない無線LAN環境での通信を控える