2010/01/21

「安全なウェブサイトの作り方 改訂第4版」が公開されたらしい


過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開:ニュース - CNET Japan

Web サイト/アプリケーションを作る際のセキュリティ対策として、教科書のようになっている IPA の「安全なウェブサイトの作り方 改訂第4版」が公開されたとのこと。

改訂内容は以下のようになっています。

改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類の脆弱性に関する失敗例を追加。従来の「SQLインジェクション」「クロスサイトスクリプティング」に関する失敗例に加えて、サイト作成で起こりがちな失敗を例示している。

さらにWAF(Web Application Firewall)の動作原理、その利用が有効な状況、導入検討における留意点が追加され、WAFの活用に向けた情報を充実させている。

過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開:ニュース - CNET Japan

失敗例は非常に参考になるので、その具体例が増えたのはうれしいですね。また、WAF の解説が追加されたのもいいですね。

あと、今までは「安全なウェブサイトの作り方」の巻末にあったチェックリストが、Excel 形式でダウンロードできるようになったので利用しやすくなったと思います。

また、いつの間にか英語版の「安全なウェブサイトの作り方」も公開されているようなので、オフショア開発でのセキュリティ意識のすりあわせに役に立ちそうです(但し、英語版は2010/01/21時点で第3版の内容)。

ダウンロードは以下よりどうぞ。

情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

 


スポンサーリンク


このエントリーをはてなブックマークに追加




Twitter ではブログにはない、いろんな情報を発信しています。


コメント

コメントを書く



プロフィール