« 2009年のインターネット犯罪総被害額は前年の倍以上 | トップページ | 「原口ビジョン」と「原口5原則」 »

2010年3月23日 (火)

「安全なウェブサイトの作り方 第4版」公開

IPAセキュリティセンターのHP「安全なウェブサイトの作り方~改訂第4版を公開。別冊:「安全なSQLの呼び出し方」を公開~」からです。

「安全なウェブサイトの作り方」が改訂され、第4版になったようです。併せて「安全なSQLの呼び出し方」が新たに公開されました。

それそれの主な内容は、以下の通り。

「安全なウェブサイトの作り方」改訂第4版の内容
 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクション、クロスサイト・スクリプティングなど9種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴などを解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。
 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策、フィッシング詐欺を助長しないための対策、WAF(Web Application Firewall)によるウェブアプリケーションの保護など6つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。
 第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から6種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。
 巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。

別冊:「安全なSQLの呼び出し方」 の内容
 第1章では、「安全なウェブサイトの作り方」との関連を記載しています。
 第2章では、SQLインジェクションが発生する原因を説明しています。
 第3章では、アプリケーションがSQL文を組み立てる方法について説明しています。
 第4章では、安全なSQL呼び出しのためには何が必要かを説明しています。
 第5章では、5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、PerlとMySQL、JavaとMySQL、ASP.NETとSQL Server)を取り上げ、SQLインジェクション攻撃に対して安全な実装方法を調査し、安全なソースコードの書き方を解説しています。
 付録では、文字コードに関する問題など、特定のデータベースに関する情報をまとめています。

次回の改訂の際には、「安全なウェブサイトの運用管理のしかた」みたいなものも作成していただきたいな、と・・・(個人的要望)

<公開資料>
「安全なウェブサイトの作り方」改訂第4版

「セキュリティ実装 チェックリスト」

「安全なSQLの呼び出し方」

|

« 2009年のインターネット犯罪総被害額は前年の倍以上 | トップページ | 「原口ビジョン」と「原口5原則」 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/33832810

この記事へのトラックバック一覧です: 「安全なウェブサイトの作り方 第4版」公開:

« 2009年のインターネット犯罪総被害額は前年の倍以上 | トップページ | 「原口ビジョン」と「原口5原則」 »