安全なウェブサイトの作り方 7 版の内容と資料活用例 2

安全なウェブサイトの作り方と届出られたウェブサイトの脆弱性の実情独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター

2016 年のウェブサイトにまつわる事件時期報道 2016/1 セキュリティー会社不覚顧客情報が流出金銭要求届く ( 朝日新聞 ) 2016/1 厚労省サイト再び閲覧不能サイバー攻撃か ( 日経新聞 ) 2016/2 ホームページからウイルス感染注意京都動物愛護センターサーバーに不正アクセス閉鎖し調査 ( 産経新聞 ) 2016/3 江崎グリコ顧客情報が流出不正アクセスで最大 8 万件 ( 朝日新聞 ) 2016/4 日テレ HP 攻撃受け個人情報 43 万件流出か ( 読売新聞 ) 2016/4 J-WAVE 個人情報 64 万件流出か不正アクセスで ( 朝日新聞 ) 2016/4 エイベックスで個人情報 35 万件流出か公式サイトに不正アクセス ( 産経新聞 ) 攻撃者からのウェブサイトへの攻撃は 24 時間 365 日いつ行われもおかしくない安全なウェブサイトの構築と運用が求められる! 3

ウェブサイトに関する届出状況毎年多くのウェブサイトの脆弱性の届出が報告 1,200 1,000 800 600 400 200 0 1,118 10,000 9,000 9,201 884 9,116 8,000 7,585 8,703 7,000 届出件数累計件数 6,000 5,000 413 4,000 3,000 2,000 85 1,000 0 2013 2014 2015 2016(~3 月 ) 約 12 年で 1 万件近くのウェブサイトの脆弱性の届出が報告脆弱性の解説と対策をまとめた資料の必要性! 4

目次安全なウェブサイトの作り方とは資料活用例 5

安全なウェブサイトの作り方とは (1/4) ウェブサイトの運営に関わる全ての人に向けた内容 11 種類の脆弱性の説明とその対策を説明運用面からのウェブサイト全体の安全性を向上させるための方策を説明 7 版からパスワードの運用方法の内容を拡充ウェブセキュリティの対策状況を把握ができるチェックリストつき https://www.ipa.go.jp/security/vuln/websecurity.html 6

安全なウェブサイトの作り方とは (2/4) 11 種類の脆弱性 1 SQL インジェクション 2 OS コマンドインジェクション 3 パス名パラメータの未チェック / ディレクトリトラバーサル 4 セッション管理の不備 5 クロスサイトスクリプティング 6 CSRF( クロスサイトリクエストフォージェリ ) 7 HTTP ヘッダインジェクション 8 メールヘッダインジェクション 9 クリックジャッキング高い危険性外部から直接データベースを不正操作内部データの漏えい改ざん破壊に繋がる高い危険性外部から直接ウェブサーバを不正操作内部システムデータの漏えい改ざん破壊に繋がる脆弱性の解説とともにその対策を根本的解決および保険的対策で説明失敗例として解説とソースコードレベルの修正例を記載 10 バファオーバーフロー 11 アクセス制御や認可制御の欠落 7

安全なウェブサイトの作り方とは (3/4) 根本的解決保険的対策失敗例根本的解決脆弱性を作りこまない実装を実現する手法保険的対策攻撃による影響を軽減する対策 ( 原因そのものを無くすわけではない ) 失敗例 8

安全なウェブサイトの作り方とは (4/4) チェックリストでの確認巻末のチェックリストを活用しセキュリティ実装の対応状況を確認 9

目次安全なウェブサイトの作り方とは資料活用例 10

活用例 (1/2) 脆弱性を修正する際 ( 開発者向け ) ウェブサイトに脆弱性が見つかった際の修正に活用根本的解決にて修正することを推奨 11

活用例 (2/2) セキュリティ要件の参考に ( 発注者向け ) 今やセキュリティ要件を考慮する事が重要 RFPに盛り込む際の参考に活用 IPA からの入札公告 (RFP) における使用例 12

ここまでのまとめウェブサイトの脆弱性が数多く IPA に届出報告されている状況から多くのウェブサイトが潜在的に脆弱性を抱えている可能性がありますウェブサイトの構築等を発注する際にセキュリティ要件を考慮することが重要となってきました発注者側と開発者側ともにセキュリティを理解する必要があります安全なウェブサイトの作り方を活用いただきウェブサイトのセキュリティ問題を解決する一助となれば幸いです 13

アンケートに回答するとプレゼント安全なウェブサイトの作り方 ( 改訂第 7 版 ) 安全な SQL の呼び出し方ウェブ健康診断仕様 14

届出られたウェブサイトの脆弱性の実情 15

はじめに (1/2) IPA では一般の方からソフトウェア製品やウェブサイトの脆弱性の届出を受付け調整する業務を行っています業務内容ウェブ一般の方から届けられた脆弱性情報を運営者 JPCERT/CC に連絡します一般の方ウェブ運営者へ製品製品 JPCERT/CC へ 16

はじめに (2/2) 安全なウェブサイトの作り方はこの届出受付業務で多く届出られた問題や影響度が大きい問題を解説しているものですこの発表では IPA に実際に届出られているウェブサイトの脆弱性についていくつか事例をご紹介します 17

脆弱性別の届出状況四半期に統計情報を公表していますクロスサイトスクリプティング (56%) 2% 2% 11% 56% DNS 情報の設定不備 (15%) 2% SQL インジェクション (12%) 12% ディレクトリトラバーサル (2%) 15% ファイルの誤った公開 (2%) HTTPS の不適切な利用 (2%) 2016 年 3 月末時点の 8,995 件の内訳その他 (11%) 18

ケース 1 脆弱性が存在する製品を利用脆弱性が存在する製品をウェブサイトで利用しているケースその製品特有のURLや記述等がなされている http://ipa.go.jp/ipaproduct/xxx.php 一件発見できれば他も探せば見つかることから対象のウェブサイトをリスト化して大量に届出られることがあった届出の例アンケートプログラム日記プログラムコンテンツ管理システム等存在していた脆弱性の影響クロスサイトスクリプティングディレクトリトラバーサル SQLインジェクション等 19

ケース 2 誤った設定で運用していた通常管理者のみアクセスできるように制限すべき管理画面がインターネット上に公開されていた通常は公開されない画面正しく設定されていなかったファイル管理ソフトウェア管理画面 20

ケース 3 急増したディレクトリトラバーサルについて http://ipa.go.jp/file.php?filename=xxx.pdf このようなウェブサイトで対策がされていないディレクトリトラバーサルは 4 番目に多く届出られている脆弱性 140 120 100 80 60 ディレクトリトラバーサルの届出時期 133 2014 年 4Q で全体 (219 件 ) の半分近くが届出られている残りはそれ以外の期間世の中に存在する脆弱性の傾向と一致するものではない 40 20 0 70 2014 年 7 月 ~2014 年 3Q 16 2014 年 4Q 2015 年 1Q ~2016 年 1Q ただ発見されていないだけで他にも危険な脆弱性が数多く存在するのでは? 21

ケース 4 情報漏えいの届出について脆弱性の影響によって情報漏えいをしてしまうケースもあるが単にインターネット上で機微な情報が公開されているケースが届出られることがある誰でも閲覧可原因について伺ってみると. - 削除することを忘れていた - 管理を外注していてセキュリティ設定をしていなかった - プログラムの不具合が原因だった - 設定途中のサーバを公開していた等設定のミスや漏れプログラムの不具合に起因していた 22

まとめ利用している製品に脆弱性が存在する可能性があります脆弱性情報の収集製品をアップデートを心がけてください設定ミスや製品の思わぬ不具合で予期せず情報漏えいが発生することがあります今一度安全なウェブサイトの作り方に記載されている脆弱性が対応済みがどうかご確認ください IPA から突然連絡がいくことがありますがお話しだけでも聞いてください 23

新試験はじまる! 情報セキュリティマネジメント試験情報セキュリティの基礎知識から管理能力まで組織の情報セキュリティ確保に貢献し脅威から継続的に組織を守るための基本的スキルを認定する試験受験をお勧めする方個人情報を扱う全ての方業務部門管理部門で情報管理を担当する全ての方 28 年度秋期試験実施時期初回応募者約 2 万 3 千人!! 実施日 2016 年 10 月 16 日 ( 日 ) 申込受付 2016 年 7 月 11 日 ( 月 ) から

IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html i パスは IT を利活用するすべての社会人学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

安全なウェブサイトの作り方 7 版の内容と資料活用例 2