情報処理推進機構(IPA)は2010年1月20日、Webサイト開発者・運営者が適切なセキュリティを考慮したWebサイトを作成するためのドキュメントの新版「安全なウェブサイトの作り方 改訂第4版」を公開した。とくに実践的な脆弱性対策を普及させるため、具体的な「失敗例」を従来版よりも拡充した。PDF形式で、自由にダウンロードできる。
IPAが受けた脆弱性関連の届け出の情報を基に作成した資料。件数や影響度が大きい脆弱性を取り上げて、それぞれの脅威の特徴や根本的な解決策、攻撃の影響軽減を期待できる対策などを解説する。改訂第4版は「ウェブアプリケーションのセキュリティ実装」「ウェブサイトの安全性向上のための取り組み」「失敗例」の3章構成。
失敗例では、「OSコマンド・インジェクション」「パス名パラメータの未チェック」「クロスサイト・リクエスト・フォージェリ」「HTTPヘッダ・インジェクション」の4種類の脆弱性に関する失敗例を追記。前版の「SQLインジェクション」「クロスサイト・スクリプティング」と合わせて計6種類とした。また、安全性向上のための取り組みには、WAF(Web Application Firewall)の動作原理、WAFの使用が有効な状況、導入検討での留意点を追加記載した。
安全なウェブサイトの作り方は、2006年1月の第1版公開以来、130万件超のダウンロードを記録している。新版は2008年3月以来の1年10カ月ぶりの改訂。なお商目的での利用はできない。
安全なウェブサイトの作り方 改訂第4版
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf