特集

IPAが「安全なウェブサイトの運用管理に向けての20ヶ条」を公開

12月12日にIPA(独立行政法人 情報処理推進機構)が「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」というコンテンツを公開しました。これは2015年に「16ヶ条」として公開されたものの増補改訂版という位置づけで、その名の通り昨今の時流を反映して4つの項目が追加されています。

では、どのようなポイントが追加されたのでしょうか?
(※カッコ内の数字はチェックポイント20ヶ条内の数字です)

(7) インターネットを介して送受信する通信内容の暗号化はできていますか?

これは盛んに叫ばれている「常時SSL化」の流れを受けたものになると言えそうです。
チェックリスト上は特に暗号化に特化・推奨した形となっていますが、盗聴防止以外にも改ざんの検知信頼性の確保などのメリットがあるため、新規のサイト・サービスであれば最初から、既存のサイト・サービスでもどこかのタイミングでの切り替えを目指すべきというのは自然な流れと言えます。
またここでは触れられていませんが、ただSSL化をすればいいというわけではなく、利用できる暗号強度の設定を適切に行うことや、状況が許すならHSTSCAAレコードへの対応を行うなど、実はやるべきことは多いというのは意識しておきたいところです。

(8) 不正ログインの対策はできていますか?

近年のサイバー攻撃事案では、
何らかの方法で漏えいしたIDやパスワードを悪用してリスト型攻撃を仕掛け、本人以外がシステムやサービスにアクセスすることにより情報や金銭の漏えいが起きる
という事案が多く発生しています。
本来IDとパスワードの管理はエンドユーザ側が行うべきもであるため、システム側としては対策のアナウンスをするくらいしかやりようが無い側面もありますが、ログインが発生した際に登録されているメールに対して通知するなどの仕組み、ログイン履歴やアクセス元IPアドレスをユーザが参照できるようにする仕組みがあるだけでも一定の有効性はあると考えられます。
またサーバやアプリケーション側の対策を万全にしたとしても、クラウドサービス上で構築されているシステムの場合、そのサービス自体にログインする管理者のパスワードなどが脆弱では意味がなくなってしまいます。
それぞれのサービスによりますが、多要素認証、ログイン通知や必要な権限の分離など、適切な対策を実施するようにしましょう。

(19) クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?

これはセキュリティ意識としてもそうですが、ビジネス慣習という面でもやや忘れられがちな項目です。
SIerが絡みオンプレミスで導入されるシステムの場合、保守契約という形で様々な条件を決め、SIer側・ユーザ側でそれぞれの責任範囲を明確にすることが多いですが(それでも曖昧なシチュエーションも存在しますが…)、クラウドサービスの場合、一方的な利用規約で縛られる状況が多い点と、基本的にユーザ側でできること≒ユーザ側の責任範囲となる領域が広いという点がよくある状況です。
改めて自分たちでできること・やらなければならないことを確認しておきましょう。

(20) 定期的にセキュリティ検査(診断)、監査していますか?

セキュリティ診断をしろと言うと、そもそも問題を発見することに目が行きがちですが、本質はその先にあります。
明らかになった問題に対してどのようなアクションを取るのか、そしてその取り組みを継続していけるのかが最大のポイントです。
発見と潰し込みだけで満足してしまう状況も生じがちですが、脆弱性は日々新たなものが発見されますし、機能改修などの結果、新たな問題が生まれてしまうことというのも往々にしてあります。
またユーザ影響などを考えて解決を先送りにせざるを得ないということもありがちです。それらを総合的に把握して継続的に管理していくことこそが重要です。

それ以外の項目も従来から盛んに指摘されてきた項目であるため、改めて見直すと共に、今回追加された項目は「今どきの新たなセキュリティ意識」として、もはや常識というレベルになったものと言えます。
セキュリティ意識を常に持つことも重要ですが、それぞれの時流に合わせて常識をアップデートすることも忘れないようにしましょう。