IPA 安全なウェブサイトの作り方

　こんにちは、丸山満彦です。IPAから「安全なウェブサイトの作り方」が公開されています。

■IPA
・2006.01.31 安全なウェブサイトの作り方
・・安全なウェブサイトの作り方

「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減を期待できる保険的な対策を示しています。また、「ウェブサイト全体の安全性を向上するための取り組み」として、ウェブサーバの運用や通信の暗号化などの解説を示しています。

ということで、目次は
＝＝＝＝＝
2. ウェブアプリケーションのセキュリティ実装
　2.1 SQLインジェクション
　2.2 OSコマンド・インジェクション
　2.3 クロスサイト・スクリプティング
　2.4 セッション管理の不備
　2.5 パス名パラメータの未チェック／ディレクトリ・トラバーサル
　2.6 メールの第三者中継

3. ウェブサイトの安全性向上のための取り組み
　3.1 ウェブサーバのセキュリティ対策
　3.2 DNS 情報の設定不備
　3.3 ネットワーク盗聴への対策
　3.4 パスワードの不備
　3.5 フィッシング詐欺を助長しないための対策
＝＝＝＝＝
とのことですので、実務から得られたポイントに基づいて・・・ということで、役立ちそうですね。

政府統一基準（2005年12月版）でいうと5.3.3他ですね。