AFFRIT Portal

ユーザ用ツール

サイト用ツール

現在位置: 農林水産研究情報総合センター » 農林水産研究情報総合センター利用案内 » セキュリティ情報 » Webサイトのセキュリティ対策
ric-cc-guide:security:web

目次

Webサイトのセキュリティ対策

最終更新日(2023.4.18)

はじめに

 近年、不正アクセスによるWebページの改ざんや、Webサイトの裏で動いているデータベースから情報を盗み出す攻撃が大流行し、世界的な問題となっています。

 Webサイトは、情報を利用する側と提供・公開する側の双方にとって、今や無くてはならない便利なツールですが、Webサイトの閲覧や運営には十分な注意が必要です。

Webサイトを閲覧する際の対策

 Webサイトは、その構造上、ウィルス配布等を行う悪意あるサイトへのリンク等が埋め込まれていても、そのページを普通に見ただけでは分かりません。最近では、信頼のおける組織の公式Webサイトが悪意ある攻撃者により改ざんされ、そのサイトを閲覧した利用者にウィルス感染等の被害をもたらす、という事例が増えています。

 Googleなどの大手の検索エンジンで上位にヒットするサイトであっても、安全とは言えないのが現状です。

 情報総合センターでは、Webフィルタを導入し、ウィルス配布等を行う危険なWebサイトへのMAFFIN内からのアクセスを防止していますが、これも万全ではありません。

 インターネット上のWebサイトを閲覧する際には、パソコンのウィルス対策ソフトのパターンファイルを最新の状態にした上で、不審なサイトにはなるべく近づかない様にし、業務に必要なサイトのみを閲覧する様にしましょう。また、安易にファイルをダウンロードすることは控えましょう。

Webサイトを運営する際の対策

「XSS(クロスサイト・スクリプティング)」や「SQLインジェクション」という言葉をご存知ですか?  これらは、悪意のある攻撃者が、Webサイトの構造上の問題点(脆弱性)を利用して、Webサイトを不正に書き換えたり、Webサイトの裏で動いているデータベースから情報を盗み出すための手口です。なお、Webサイトの攻撃手法は、この他にも存在します。攻撃手法の具体的な説明は、(独)情報処理振興機構(IPA)のサイトにある「安全なウェブサイトの作り方」等を参照してください。

 政府機関などの公的機関のWebサイトを対象としたこれらの攻撃は、増加の一途をたどっています。

 これらの攻撃は、正常なWebアクセス通信を用いて行われるため、情報総合センターで設置している通常のファイアウォールでは防ぐことができません。情報総合センターで設置している不正侵入検知システムにより攻撃が行われた痕跡を検知し、後から注意喚起のご連絡をする場合もありますが、攻撃を防止することはできません。個々のWebサーバにおいて、対策を取っていただく必要があります。

 既にWebサイトを運営している場合は、最新のセキュリティパッチを適用すると共に、アクセスログの解析を定期的に行い、攻撃の痕跡を見逃さない様にしてください。

 (独)情報処理振興機構(IPA)では、Webサーバのアクセスログを解析して、Webサイトへの攻撃の検出を簡易に行う検出ツール「iLogScanner」を無償で公開しています。

 不審な痕跡が見つかった場合は、情報総合センターにご相談ください。

 また、ご自分のWebサイトにこれらの攻撃の対象となる脆弱性がないかどうか、専門家に脆弱性検査を依頼して確認することをお勧めします。

Webサイトを構築する際の対策

 これからWebサイトを構築される方は、(独)情報処理振興機構(IPA)が作成し公開している「安全なウェブサイトの作り方」(※最新版をご利用ください)等を事前に参照し、脆弱性のないサイトの構築を目指してください。

 この場合も、サイトの公開前に、専門の第三者機関による脆弱性検査を受けることをお勧めします。

管理者向けセミナー資料

サーバー管理者向けセミナー資料を掲載していますので、参考にしてください。
 (MAFFIN内からのみ閲覧可能です。)

参考リンク

ric-cc-guide/security/web.txt · 最終更新: 2023/04/18 13:05