本 ドキュメントの 新 しいバージョンが 公 開 されています 詳 しくは OWASP Japan の Web サイトをご 覧 下 さい Web システム/Web アプリケーションセキュリティ 要 件 書 OWASP Edition November 1, 2013 Copyright 2002- The Open Web Application Security Project (OWASP). All Rights Reserved. Permission is granted to copy, distribute, and/or modify this document provided this copyright notice and attribution to OWASP is retained.
目 次 Web システム/Web アプリケーションセキュリティ 要 件 書... 1 1. about OWASP... 3 1.1. はじめに... 3 1.2. OWASP について... 3 1.3. OWASP Japan について... 4 2. イントロダクション... 4 2.1. 本 ドキュメントの 目 的... 4 2.2. 本 ドキュメントの 対 象 読 者... 4 2.3. 本 ドキュメントがカバーする 範 囲... 4 2.4. 本 ドキュメントの 利 用 について... 4 3. 要 求 仕 様 項 目... 5 4. 参 考 文 献... 11 5. 改 訂 履 歴... 11 2
1. about OWASP 1.1. はじめに 安 全 な Web アプリケーションの 開 発 に 必 要 なセキュリティ 要 件 について 発 注 者 と 開 発 会 社 の 双 方 が 正 しく 理 解 していないことも 多 く 明 確 に 指 定 されることは 少 ないのが 現 状 です セキュリティ 要 件 が 明 確 でないと 発 注 者 からセキュリティ 対 策 や 関 連 するコストに 掛 かる 対 価 を 受 け 取 ることができません そして 見 積 もり 競 争 になった 場 合 セキュリティ 対 策 にコストを 掛 けない 粗 悪 品 を 作 る 開 発 会 社 が 安 い 金 額 で 受 注 してしまう ことがしばしばあります この 悪 循 環 を 断 ち 切 るためには 発 注 者 側 からセキュリティ 要 件 書 を 示 し セキュリティ 対 策 が 施 された Web アプリケーションの 開 発 を 依 頼 することが 必 要 だと 考 えます これによって 開 発 会 社 は 適 切 な 対 価 を 受 け 取 ることで セキュリティ 対 策 の 教 育 や 実 装 などにコストを 掛 けることができ 発 注 者 はセキュアな Web アプ リケーションを 受 け 取 ることができるような 良 循 環 に 変 わっていくことを 切 に 願 います OWASP Japan chapter leader 上 野 宣 1.2. OWASP について The Open Web Application Security Project (OWASP) は 信 頼 できるアプリケーションの 開 発 購 入 運 用 の 推 進 を 目 的 として 設 立 されたオープンなコミュニティです OWASP では 以 下 をフリーでオープンな 形 で 提 供 実 施 しています l アプリケーションセキュリティに 関 するツールと 規 格 l アプリケーションセキュリティ 検 査 セキュア 開 発 セキュリティ コードレビューに 関 する 網 羅 的 な 書 籍 l 標 準 のセキュリティ 制 御 とライブラリ l 世 界 中 の 支 部 l 先 進 的 な 研 究 l 世 界 中 での 会 議 l メーリング リスト 詳 細 はこちら:https://www.owasp.org 全 ての OWASP のツール 文 書 フォーラム および 各 支 部 は アプリケーションセキュリティの 改 善 に 関 心 を 持 つ 人 のため 無 料 で 公 開 されています アプリケーションセキュリティに 対 する 最 も 効 果 的 なアプローチ として 我 々は 人 プロセス 技 術 という 3 つの 課 題 から 改 善 することを 提 唱 しています OWASP は 新 しい 種 類 の 組 織 です 商 業 的 な 圧 力 が 無 い 中 アプリケーションセキュリティに 対 して 偏 見 無 く 実 用 的 かつコスト 効 果 の 高 い 情 報 の 提 供 を 行 っています OWASP はいかなる IT 企 業 の 支 配 下 にもありま せんが 商 用 のセキュリティ 技 術 の 活 用 を 支 持 しています 他 のオープンソース ソフトウェアプロジェクト と 同 様 に OWASP も 協 同 かつオープンな 形 で 多 様 な 資 料 を 作 成 しています The OWASP Foundation は このプロジェクトの 長 期 的 な 成 功 を 目 指 す 非 営 利 組 織 です OWASP 理 事 会 グローバル 委 員 会 支 部 長 プロジェクトリーダー プロジェクトメンバーを 含 む OWASP の 関 係 者 はほと んどボランティアです 革 新 的 なセキュリティ 研 究 に 対 して 助 成 金 とインフラの 提 供 で 支 援 しています 3
1.3. OWASP Japan について 主 に 日 本 で 活 動 している OWASP メンバーによる 日 本 支 部 です OWASP の 膨 大 なドキュメントやツール 類 の 日 本 語 化 を 初 めとして 日 本 からのセキュリティ 情 報 の 発 信 を 行 っています 是 非 ご 参 加 下 さい https://www.owasp.org/index.php/japan 2. イントロダクション 2.1. 本 ドキュメントの 目 的 本 ドキュメントは 以 下 のことを 目 的 としています l 開 発 会 社 開 発 者 に 安 全 な Web システム/Web アプリケーションを 開 発 してもらうこと l 開 発 会 社 と 発 注 者 の 瑕 疵 担 保 契 約 の 責 任 分 解 点 を 明 確 にすること l 要 求 仕 様 や RFP( 提 案 依 頼 書 )として 利 用 し 要 件 定 義 書 に 組 み 込 むことができるセキュリティ 要 件 とし て 活 用 していただくこと 2.2. 本 ドキュメントの 対 象 読 者 本 ドキュメントは 以 下 の 方 を 対 象 読 者 としています l 発 注 者 の 方 で 要 求 仕 様 や RFP( 提 案 依 頼 書 )を 作 成 する 方 l 受 注 者 ( 開 発 者 )の 方 で 要 件 定 義 書 を 作 成 する 方 2.3. 本 ドキュメントがカバーする 範 囲 本 ドキュメントでは Web システム/Web アプリケーションに 関 して 一 般 的 に 盛 り 込 むべきと 考 えられるセキ ュリティ 要 件 について 記 載 しています また 開 発 言 語 やフレームワークなどに 依 存 することなくご 利 用 いた だけます ただし ネットワークやホストレベル 運 用 などに 関 するセキュリティ 要 件 については 記 載 してい ません 対 象 とする Web システム/Web アプリケーションは インターネット イントラネット 問 わず 公 開 するシス テムで 特 定 多 数 または 不 特 定 多 数 のユーザーが 利 用 するシステムを 想 定 しています この 中 でも 特 に 認 証 を 必 要 とするシステムが 本 ドキュメントの 主 なターゲットとなっています 本 ドキュメントは セキュリティ 要 件 としての 利 用 のしやすさを 優 先 して 記 載 しているため 一 般 的 であろう システムを 想 定 し 例 外 の 記 載 を 少 なくしたセキュリティ 要 件 となっています そのため 具 体 的 な 数 値 や 対 策 を 指 定 していることもありますが 要 件 定 義 書 に 記 載 する 内 容 は 受 注 者 ( 開 発 者 )と 折 衝 してください 2.4. 本 ドキュメントの 利 用 について 以 下 の 条 件 に 従 う 場 合 に 限 り 自 由 に 本 作 品 を 複 製 頒 布 展 示 実 演 することができます また 二 次 的 著 作 物 を 生 成 することができます 従 うべき 条 件 は 以 下 の 通 りです l 表 示 :あなたは 原 著 作 者 のクレジットを 表 示 しなければなりません l 継 承 :もしあなたがこの 作 品 を 改 変 変 形 または 加 工 した 場 合 あなたはその 結 果 生 じた 作 品 をこの 作 品 と 同 一 の 許 諾 条 件 の 下 でのみ 頒 布 することができます 4
3. 要 求 仕 様 項 目 : 必 須 事 項 ではないが あると 望 ましい 要 件 を 表 しています 囲 み 内 は 解 説 および 補 足 です 1. 認 証 1.1 以 下 の 箇 所 では 認 証 を 実 施 すること l 認 証 済 みユーザーのみに 表 示 実 行 を 許 可 すべき 画 面 や 機 能 l 上 記 画 面 に 含 まれる 画 像 やファイルなどの 個 別 のコンテンツ ( 非 公 開 にすべきデータは 直 接 URL で 指 定 できる 公 開 ディレクトリに 配 置 しない) l 管 理 者 用 画 面 特 定 のユーザーのみにアクセスを 許 可 したい Web システムでは 認 証 を 行 う 必 要 があります また 認 証 が 成 功 した 後 にはアクセス 権 限 を 確 認 する 必 要 があります そのため 認 証 済 みユーザーのみがアク セス 可 能 な 箇 所 を 明 示 しておくことが 望 ましいでしょう 1.2 以 下 の 箇 所 では 認 証 済 みの 場 合 でも 再 認 証 を 実 施 すること l 個 人 情 報 や 機 密 情 報 を 表 示 するページに 遷 移 する 際 l パスワード 変 更 や 決 済 処 理 などの 重 要 な 機 能 を 実 行 する 際 認 証 はセッションにおいて 最 初 の 一 度 だけ 実 施 するのではなく 重 要 な 情 報 や 機 能 へアクセスする 際 に は 再 認 証 を 行 うことが 望 ましいでしょう 1.3 パスワードについて l パスワード 文 字 列 は 大 小 英 字 と 数 字 の 両 方 を 含 み 最 低 7 文 字 以 上 であること l 画 面 (hidden パラメーターなどのソースコード 内 も 含 む)にパスワード 文 字 列 を 表 示 しないこと l パスワード 文 字 列 の 入 力 フォームは input type="password"で 指 定 すること l ユーザーが 入 力 したパスワード 文 字 列 を 次 画 面 以 降 で 表 示 しないこと l パスワード 文 字 列 は パスワード 文 字 列 +salt(ユーザー 毎 に 異 なるランダムな 文 字 列 ) をハッシュ 化 したものと salt のみを 保 存 すること l ユーザー 自 身 がパスワードを 変 更 できる 機 能 を 用 意 すること 認 証 を 必 要 とする Web システムの 多 くは パスワードを 本 人 確 認 の 手 段 として 認 証 処 理 を 行 います そ のためパスワードを 盗 聴 や 盗 難 などから 守 ることが 重 要 になります 1.4 アカウントロック 機 能 について l 認 証 時 に 無 効 なパスワードで 10 回 試 行 があった 場 合 最 小 30 分 間 はユーザーがロックアウトされた 状 態 にすること l ロックアウトは 自 動 解 除 を 基 本 とし 手 動 での 解 除 は 管 理 者 のみ 実 施 可 能 とすること パスワードに 対 する 総 当 たり 攻 撃 や 辞 書 攻 撃 などから 守 るためには 試 行 速 度 を 遅 らせるアカウントロ ック 機 能 の 実 装 が 有 効 な 手 段 になります アカウントロックの 試 行 回 数 ロックアウト 時 間 については サービスの 内 容 に 応 じて 調 整 することが 必 要 になります 2. 認 可 (アクセス 制 御 ) 2.1 Web ページや 機 能 データへのアクセスは 認 証 情 報 状 態 を 元 にして 判 別 すること 認 証 により 何 らかの 制 限 を 行 う 場 合 には 利 用 しようとしている 情 報 や 機 能 へのアクセス( 読 み 込 み 書 き 込 み 実 行 など) 権 限 を 確 認 することでアクセス 制 御 を 行 うことが 必 要 になります Web ページや 機 能 データにアクセスする 際 には 認 証 情 報 状 態 を 元 にして 権 限 があるかどうかを 判 別 する 必 要 があ 5
ります 3. セッション 管 理 3.1 セッションの 破 棄 について l 認 証 済 みのセッションが 一 定 時 間 以 上 アイドル 状 態 にあるときはセッションタイムアウトとし サーバ ー 側 でセッションを 破 棄 しログアウトすること( 時 間 はサービスの 内 容 に 応 じて 調 整 すること) l ログアウト 機 能 を 用 意 し ログアウト 実 行 時 にはサーバー 側 でセッションを 破 棄 すること 認 証 を 必 要 とする Web システムの 多 くは 認 証 状 態 の 管 理 にセッション ID を 使 ったセッション 管 理 を 行 います 認 証 済 みの 状 態 にあるセッションを 不 正 に 利 用 されないためには 使 われなくなったセッシ ョンを 破 棄 する 必 要 があります セッションタイムアウトの 時 間 については サービスの 内 容 に 応 じて 調 整 することが 必 要 になります 3.2 セッション ID について l Web アプリケーション 開 発 ツールが 提 供 するセッション 管 理 機 能 を 使 用 すること l 上 記 のセッション 管 理 機 能 の 使 用 が 困 難 な 場 合 セッション ID は 80 ビット( 使 用 する 文 字 が 16 進 数 の 場 合 20 文 字 ) 以 上 の 文 字 列 を 使 用 すること l 上 記 のセッション 管 理 機 能 の 使 用 が 困 難 な 場 合 セッション ID はログインごとに 乱 数 により 生 成 する こと l セッション ID をクライアントと 受 け 渡 しする 際 は Cookie にのみ 格 納 すること l セッション ID の 発 行 は 認 証 成 功 後 とすること l 認 証 済 みユーザーの 特 定 はセッション ID でのみ 行 うこと セッション ID を 用 いて 認 証 状 態 を 管 理 する 場 合 セッション ID を 盗 聴 や 推 測 されたり 攻 撃 者 が 指 定 したセッション ID を 使 わされるなどの 攻 撃 から 守 る 必 要 があります フレームワークなどの 制 約 によ り セッション ID の 発 行 を 認 証 成 功 後 にするのが 困 難 な 場 合 にはログイン 後 にセッション ID を 振 り 直 すなどの 代 替 案 を 取 り 入 れましょう セッション ID は 原 則 として Cookie にのみ 格 納 すべきです 3.3 CSRF(クロスサイトリクエストフォージェリー) 対 策 の 実 施 について l CSRF 対 策 を 実 施 すべき 箇 所 では 再 認 証 の 実 施 すること l CSRF 対 策 を 実 施 すべき 箇 所 で 再 認 証 の 実 施 を 提 供 することが 困 難 な 場 合 にはアクセスを POST に 限 定 し 秘 密 情 報 の 埋 め 込 みと 確 認 を 実 施 すること 利 用 者 本 人 以 外 の 意 図 により 操 作 されては 困 る 箇 所 が CSRF 対 策 を 実 施 すべき 箇 所 となります 再 認 証 を 実 施 することが 望 ましい 対 策 ですが 利 便 性 低 下 を 回 避 したい 場 合 などには サーバーが 発 行 した 秘 密 情 報 の 埋 め 込 みと 確 認 を 実 施 することで 正 しい 画 面 遷 移 を 経 てきているかを 確 認 する 必 要 がありま す 秘 密 情 報 としては 固 定 値 ではなく ワンタイムトークンを 使 うことが 望 ましいでしょう 4. パラメーター 4.1 URL パラメーターにユーザーID やパスワードなどの 秘 密 情 報 を 格 納 しないこと URL に 付 加 される name=value のパラメーターは Referer 情 報 などにより 外 部 に 漏 えいする 可 能 性 が あります そのため URL パラメーターには 秘 密 にすべき 情 報 は 格 納 しないようにする 必 要 があります 4.2 パラメーターにパス 名 を 含 めないこと ファイル 操 作 を 行 う 機 能 などにおいて URL パラメーターやフォームで 指 定 した 値 でパス 名 を 指 定 でき 6
るようにした 場 合 想 定 していないファイルにアクセスされてしまうなどの 不 正 な 操 作 を 実 行 されてし まう 可 能 性 があります 4.3 アプリケーション 要 件 に 基 づいて 入 力 値 の 文 字 種 や 文 字 列 長 の 検 証 を 行 うこと Web インタフェースを 通 して 受 け 取 る 入 力 値 に 想 定 している 文 字 種 や 文 字 列 長 以 外 の 値 の 入 力 を 許 し てしまう 場 合 バッファオーバーフローなどの 不 正 な 操 作 を 実 行 されてしまう 可 能 性 があります 5. 文 字 列 処 理 5.1 クロスサイトスクリプティング(XSS) 対 策 を 講 じること l すべての HTML 出 力 で 特 殊 文 字 (< > " ' &)をエスケープすること ( ' のエスケープはオプション 扱 い) l ユーザーの 入 力 など 外 部 から 入 力 した URL を 出 力 するときは http:// や https:// で 始 まるもの のみを 許 可 すること l <script>...</script> 要 素 の 内 容 やイベントハンドラ(onmouseover= など)を 動 的 に 生 成 しないよう にすること l スタイルシートを 外 部 サイトから 取 り 込 めないようにすること 外 部 からの 特 殊 文 字 の 入 力 により 不 正 な HTML タグなどが 実 行 されてしまう 可 能 性 があります < < や & & " " のようにエスケープを 行 う 必 要 があります 実 装 の 際 に はこれらを 自 動 的 に 実 行 するフレームワークやライブラリを 使 用 することが 望 ましいでしょう また そ の 他 にもスクリプトの 埋 め 込 みの 原 因 となるものを 作 らないようにする 必 要 があります <script>...</script> 要 素 の 内 容 やイベントハンドラは 原 則 として 動 的 に 生 成 しないようにすべきですが jquery などの Ajax ライブラリを 使 用 する 際 はその 限 りではありません ライブラリについては アッ プデート 状 況 などを 調 べて 信 頼 できるものを 選 択 するようにしましょう 5.2 HTML タグの 属 性 値 を " で 囲 うこと HTML タグ 中 の name= value で 記 される 値 (value)がユーザーの 入 力 値 を 使 う 場 合 で 囲 わない 場 合 不 正 な 属 性 値 を 追 加 されてしまう 可 能 性 があります 5.3 SQL コマンドを 組 み 立 てる 際 にプレースホルダを 使 用 すること SQL コマンドの 組 み 立 て 時 に 不 正 な SQL コマンドを 挿 入 されることで SQL インジェクションを 実 行 さ れてしまう 可 能 性 があります これを 防 ぐためには プレースホルダを 使 用 して SQL コマンドを 組 み 立 てるようにする 必 要 があります 5.4 HTTP レスポンスヘッダーの Content-Type に 文 字 コードを 指 定 すること 一 部 のブラウザではコンテンツの 文 字 コードを 誤 認 識 させることで 不 正 な 操 作 が 行 える 可 能 性 がありま す これを 防 ぐためには HTTP レスポンスヘッダーに Content-Type: text/html; charset=utf-8 の ように 文 字 コードを 指 定 する 必 要 があります 6. HTTPS 6.1 https://で 指 定 すべき 画 面 を 特 定 すること l 入 力 フォームのある 画 面 l 入 力 フォームデータの 送 信 先 l 重 要 情 報 や 問 い 合 わせ 先 など 改 ざんや 偽 のページが 表 示 されては 困 る 画 面 適 切 に HTTPS を 使 うことで 通 信 の 盗 聴 改 ざん なりすましから 情 報 を 守 ることができます 重 要 な 情 7
報 を 扱 う 場 合 には HTTPS で 通 信 を 行 う 必 要 があります また 特 別 な 理 由 がない 限 りは HTTPS でアクセ ス 可 能 なページは HTTP でのアクセスを 提 供 しないことが 望 ましいでしょう 6.2 サーバー 証 明 書 はアクセス 時 に 警 告 が 出 ないものを 使 用 すること HTTPS で 提 供 されている Web サイトにアクセスした 場 合 Web ブラウザから 何 らかの 警 告 がでるとい うことは 適 切 に HTTPS が 運 用 されておらず 盗 聴 改 ざん なりすましから 守 られていません 適 切 な サーバー 証 明 書 を 使 用 する 必 要 があります 6.3 SSL2.0 を 無 効 にすること SSL2.0 には 脆 弱 性 があるので SSL3.0/TLS1.0 などを 使 用 する 必 要 があります 7. Cookie 7.1 HTTPS 利 用 時 の Cookie には secure 属 性 を 付 けること Cookie に secure 属 性 を 付 けることで http://へのアクセスの 際 には Cookie を 送 出 しないようにできま す http://と https://にまたがった Web サイトの 場 合 には secure 属 性 がある Cookie とない Cookie の 2 つを 使 い 分 ける 必 要 があります 7.2 Cookie の 値 には 機 密 情 報 を 格 納 しないこと Cookie には name=value として 任 意 の 値 を 格 納 することができますが Cookie の 値 は 盗 聴 される 可 能 性 があります それらの 値 はセッション ID などの 代 替 え 情 報 に 紐 付 け Cookie には 代 替 え 情 報 のみを 格 納 して 管 理 することが 望 ましいでしょう 認 証 状 態 に 紐 付 けられたセッション ID を 格 納 する 場 合 には secure 属 性 を 付 けることが 必 要 です 7.3 Cookie に HttpOnly 属 性 を 付 けること Cookie に HttpOnly 属 性 を 付 けることで 一 部 のブラウザではクライアント 側 のスクリプトから Cookie へのアクセスを 制 限 することができます 攻 撃 による Cookie の 盗 難 を 防 ぐためには HttpOnly 属 性 を 付 けることが 望 ましいでしょう 8. 画 面 設 計 8.1 利 用 者 の Web ブラウザ 環 境 を 操 作 せずデフォルト 状 態 で 動 作 すること l ユーザーに 指 示 してセキュリティ 設 定 の 変 更 をさせない l アドレスバーやステータスバーを 隠 すなど 画 面 の 変 更 を 行 わない 利 用 者 の Web ブラウザのセキュリティ 設 定 などを 変 更 した 場 合 その 変 更 は 他 のサイトにも 影 響 しま す 利 用 者 のセキュリティを 守 るために 設 定 を 変 更 させるべきではありません また アドレスバーや ステータスバーなどの 情 報 は 利 用 者 がセキュリティの 状 態 を 確 認 するためなどに 必 要 になりますので 隠 すなど 画 面 の 変 更 をするべきではありません 8.2 フレーム IFRAME を 使 用 しないこと フレームや IFRAME 内 に 表 示 されている 画 面 は ブラウザ 上 で 一 目 で 確 認 することができません フレ ームや IFRAME 内 に 偽 サイトを 表 示 させられるのを 防 ぐためには 使 用 を 避 けることが 望 ましいでしょ う 9. その 他 9.1 エラーメッセージでユーザーID や 登 録 メールアドレスなどの 存 在 証 明 をしないこと たとえば 認 証 失 敗 時 に パスワードが 間 違 えています というエラーメッセージを 表 示 した 場 合 ユー ザーID は 合 っているということを 意 味 します 攻 撃 者 は これを 利 用 して 存 在 するユーザーID を 探 るこ 8
とができます エラーメッセージでユーザーID や 登 録 メールアドレスなどの 存 在 がわかるようなメッセ ージを 出 力 すべきではありません 9.2 プログラム 上 で OS コマンドやアプリケーションなどのコマンド シェル eval()などによるコマンド の 実 行 を 呼 び 出 して 使 用 しないこと コマンド 実 行 時 にユーザーが 指 定 した 値 を 挿 入 できる 場 合 外 部 から 任 意 のコマンドを 実 行 されてしま う 可 能 性 があります これらのコマンドを 呼 び 出 して 使 用 しないことが 望 ましいでしょう 9.3 ハッシュ 関 数 暗 号 アルゴリズムは 電 子 政 府 における 調 達 のために 参 照 すべき 暗 号 のリスト (CRYPTREC 暗 号 リスト) に 記 載 のものを 使 用 すること 広 く 使 われているハッシュ 関 数 疑 似 乱 数 生 成 系 暗 号 アルゴリズムの 中 には 安 全 でないものもありま す 安 全 なものを 使 用 するためには 電 子 政 府 における 調 達 のために 参 照 すべき 暗 号 のリスト (CRYPTREC 暗 号 リスト) に 記 載 されたものを 使 用 する 必 要 があります 総 務 省 電 子 政 府 における 調 達 のために 参 照 すべき 暗 号 のリスト(CRYPTREC 暗 号 リスト) http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000038.html 9.4 鍵 や 秘 密 情 報 などに 使 用 する 乱 数 的 性 質 を 持 つ 値 を 必 要 とする 場 合 には 暗 号 学 的 な 強 度 を 持 った 疑 似 乱 数 生 成 系 を 使 用 すること 鍵 や 秘 密 情 報 に 予 測 可 能 な 乱 数 を 用 いると 過 去 に 生 成 した 乱 数 値 から 生 成 する 乱 数 値 が 予 測 される 可 能 性 があるため ハッシュ 関 数 などを 用 いて 生 成 された 暗 号 学 的 な 強 度 を 持 った 疑 似 乱 数 生 成 系 を 使 用 する 必 要 があります 9.5 データファイルを 公 開 ディレクトリに 格 納 しない データファイルを 使 ってデータを 格 納 する 場 合 データファイル 自 体 にアクセスされてしまう 可 能 性 が あるため インターネット 経 由 でアクセスできない 場 所 に 格 納 する 必 要 があります 9.6 パラメーターに 任 意 の URL を 指 定 することで 自 動 的 に 画 面 を 遷 移 できるオープンリダイレクタを 設 け ないこと オープンリダイレクタを 不 正 に 利 用 することで 攻 撃 者 が 指 定 した 任 意 の URL に 遷 移 させることができ ます リダイレクタを 使 用 する 場 合 には 特 定 の URL のみに 遷 移 できるようにする 必 要 があります 9.7 メール 送 信 処 理 には 専 用 のライブラリを 使 用 すること メールの 送 信 処 理 にユーザーが 指 定 した 値 を 挿 入 できる 場 合 不 正 なコマンドなどを 挿 入 されてしまう 可 能 性 があります これを 防 ぐためには メール 送 信 専 用 のライブラリなどを 使 うようにすることが 望 ましいでしょう 9.8 HTTP ヘッダーフィールドの 生 成 には 専 用 のライブラリを 使 用 すること HTTP ヘッダーフィールドの 生 成 時 にユーザーが 指 定 した 値 を 挿 入 できる 場 合 不 正 な HTTP ヘッダー やコンテンツを 挿 入 されてしまう 可 能 性 があります これを 防 ぐためには HTTP ヘッダーフィールド を 生 成 する 専 用 のライブラリなどを 使 うようにすることが 望 ましいでしょう 9.9 基 盤 ソフトウェアはアプリケーションの 稼 働 年 限 以 上 のものを 選 定 すること 言 語 やミドルウェア ソフトウェアの 部 品 などの 基 盤 ソフトウェアは 稼 働 期 間 またはサポート 期 間 がア プリケーションの 稼 働 期 間 以 上 のものを 利 用 する 必 要 があります もしアプリケーションの 稼 働 期 間 中 に 基 盤 ソフトウェアの 保 守 期 間 が 終 了 した 場 合 危 険 な 脆 弱 性 が 残 されたままになる 可 能 性 があります 10. 提 出 物 9
10.1 提 出 物 として 下 記 を 用 意 すること l サイトマップ l 画 面 遷 移 図 l ディレクトリツリー 認 証 や 再 認 証 が 必 要 な 箇 所 アクセス 制 御 が 必 要 なデータ HTTPS による 保 護 が 必 要 な 画 面 やデータを 明 確 にするためには Web サイト 全 体 の 構 成 を 把 握 し 扱 うデータを 把 握 する 必 要 があります そのた めには 上 記 の 資 料 を 用 意 することが 望 ましいでしょう 10
4. 参 考 文 献 l NPO 日 本 ネットワークセキュリティ 協 会 Web システム セキュリティ 要 求 仕 様 (RFP) 編 β 版 Ø http://www.jnsa.org/active/2005/active2005_1_4a.html l 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 高 木 浩 光 安 全 な Web アプリ 開 発 の 鉄 則 2006 Ø http://www.nic.ad.jp/ja/materials/iw/2006/proceedings/t21.pdf l 独 立 行 政 法 人 情 報 処 理 推 進 機 構 安 全 なウェブサイトの 作 り 方 改 訂 第 6 版 Ø http://www.ipa.go.jp/security/vuln/websecurity.html l 株 式 会 社 トライコーダ セキュア Web アプリケーション 開 発 講 座 Ø http://www.tricorder.jp/education.html l 電 子 政 府 における 調 達 のために 参 照 すべき 暗 号 のリスト(CRYPTREC 暗 号 リスト) を 公 表 します (METI/ 経 済 産 業 省 ) Ø http://www.meti.go.jp/press/2012/03/20130301004/20130301004.html 制 作 : 株 式 会 社 トライコーダ 協 力 :HASH コンサルティング 株 式 会 社 OWASP Japan Chapter メンバー 5. 改 訂 履 歴 トライコーダ 版 Ver.1.0 初 版 (2009 年 3 月 17 日 ) Ver.1.1 2009 年 4 月 22 日 改 訂 OWASP 版 Ver.1.0 初 版 (2013 年 11 月 1 日 ) 11