— intra-martで運用する場合のセキュリティの考え方    

Similar documents
PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2


OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

OpenRulesモジュール

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

OpenRulesモジュール

WEBシステムのセキュリティ技術

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

— 製品保守ポリシーとアップデート・パッチの考え方    

SiteLock操作マニュアル

— IM-VisualDesigner Migration Tool 2017 Spring リリースノート   初版  

intra-mart Accel Platform

SQLインジェクション・ワームに関する現状と推奨する対策案

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

[投影版]見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策_

Webアプリケーションを守るための対策

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

HDC-EDI Base Web/deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

目 次 〇はじめに 利用方法 3 〇宿泊施設用チェックリスト 4 1.Wi-Fi のセキュリティ対策 4 2. ホームページのセキュリティ対策 6 3. 重要システム ( 客室管理システム 予約システム等 ) のセキュリティ対策 8 4. 組織のセキュリティ対策 9 〇用語集 11 2

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

クライアント証明書導入マニュアル

intra-mart Accel Platform — OAuth認証モジュール 仕様書   初版  

CA Federation ご紹介資料

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

目的 概要 全体像 概念図 用語の定義 用語 説明 用語 説明 用語 説明 用語 説明 参考資料

別添 2 SQL インジェクション ぜい弱性診断で最低限行うべき項目 1 ( ' ( 検索キー )''-- ( 検索キー ) and 'a'='a ( 検索キー ) and 1=1 は最低限 行うこと ) OS コマンドインジェクション 2 (../../../../../../../bin/sle

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

WSUS Quick Package

金融工学ガイダンス

金融工学ガイダンス

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

<4D F736F F D CC2906C A90848FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

<4D F736F F F696E74202D20466F C68EE390AB B28FD089EE2091E6382E3094C A2E B8CDD8AB B83685D>

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

金融工学ガイダンス

IM-SecureSignOn

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

1. 件名 各種学生情報システム群の脆弱性診断業務一式 2. 目的独立行政法人国立高等専門学校機構 ( 以下 機構 という ) は 平成 16 年 4 月に独立行政法人化され 全国 51の国立高等専門学校 ( 以下 高専 という ) が一つの法人格にまとまることによるスケールメリットを活かした管理運

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

intra-mart EX申請システム version.7.2 事前チェック

WEBバンキングサービス

<4D F736F F D FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

目次 1. はじめに SSL 通信を使用する上での課題 SSL アクセラレーターによる解決 SSL アクセラレーターの導入例 SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

intra-mart EX申請システム version.5.4 提出依頼機能 リリースノート

HDC-EDI Base deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

— OpenRulesモジュール 2017 Summer リリースノート   初版  

証明書インポート用Webページ

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

サーバセキュリティサービス 導入手順書 Deep Security 9.5SP1 (Windows) プロキシ経由編

Ver.0 目次. はじめに.... 証明書の発行 ( ダウンロード ) 手順... 付録 A. ルート証明書無しでの証明書の発行 ( ダウンロード ) 手順... 5 付録 B. ブラウザの設定... Copyright 04 SECOM Trust Systems CO.,LTD. All Ri

業務サーバパック for 奉行シリーズスタートアップガイド

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

個人向け WEB バンキングサービス 推奨環境と設定について 新システムにおける個人向けWEBバンキングサービスの推奨環境は以下のとおりです 推奨環境には 開発元のサポートが終了し セキュリティ更新プログラム等の提供が行われていないOSやブラウザは含まれません また 推奨環境については動作確認をして

intra-mart Accel Platform

intra-mart EX申請システム version.7.2 PDFオプション リリースノート

2Mac OS OS Safari プラグインソフト 3.X Mac OS X 5.X Mac OS X 5.X Mac OS X Adobe Reader ( 入出金明細照会結果を印刷する場合 / ローン 外貨サービスを利用する場合 ) Adobe Fla

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

— intra-mart Accel Platform セットアップガイド (WebSphere編)   第7版  

金融工学ガイダンス

Microsoft Word - 推奨環境.doc

目 次 〇はじめに 利用方法 3 〇バス事業者及びバスターミナル事業者用共通チェックリスト 4 1.Wi-Fi のセキュリティ対策 4 2. ホームページのセキュリティ対策 6 3. 予約システム等のセキュリティ対策 8 4. 重要システム ( 配車 運行システム等 ) のセキュリティ対策 9 5.

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

<4D F736F F F696E74202D E A B D682CC91E3955C93498D558C822E707074>

<4D F736F F D DEC90E096BE8F E C E312E30816A2E646F63>

— OpenRulesモジュール 2017 Summer リリースノート   第2版  

近年のセキュリティインシデント インターネットにおける事件が多様化 ウェブサイトにおけるセキュリティ事件も多発 時期 報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ 米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20

Ver.50 改版履歴 版数 日付 内容 担当 V //9 新規作成 STS V..0 06/6/ 画像修正 STS V..0 06/6/8 画像修正 STS V /9/5 画像追加 (Windows0 Anniversary の記載 ) STS V // 文言修

WEB-FB(法人用インターネットバンキング)

Interstage Application ServerのTLS 1.1/1.2サポートについて(広報)

— IM-SecureSignOn for Accel Platform 2017 Winter リリースノート   第2版  

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 4 月 1 日から2013 年 6 月 30 日までの

*2 Windows7 (SP なし ) につきましては セキュリティ向上のため Windows7 SP1 をご使用することをお薦めいたします *3 ソフトウェアキーボードご利用時に この Web ページがクリップボードへアクセスするのを許可しますか? というメッセージがダイアログボックスで表示され

metis ami サービス仕様書

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

証明書インポート用Webページ

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区か

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

独立行政法人 鉄道建設 運輸施設整備支援機構 電子入札システム 初期設定マニュアル 2019 年 4 月

ビジネス Web 推奨環境と設定について 新システムにおけるビジネスWebの推奨環境は以下のとおりです 推奨環境には 開発元のサポートが終了し セキュリティ更新プログラム等の提供が行われていないOSやブラウザは含まれません また 推奨環境については動作確認をしておりますが パソコンの機種や設定におい

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

Ver1.70 証明書発行マニュアル パスワード設定版 Windows 7 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserved i

福岡大学ネットワーク認証・検疫システム実施マニュアル

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

いよぎんインターネットEB ご利用の手引

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

Transcription:

1 Top

目次 2

はじめに 本書の目的 本書では弊社製品で構築したシステムに関するセキュリティ対策について説明します 一般的にセキュリティ ( 脆弱性 ) 対策は次に分類されます 各製品部分に潜むセキュリティ対策 各製品を以下のように分類します ミドルウェア製品ミドルウェア製品のセキュリティ ( 脆弱性 ) 対策リリースノート システム要件 内に記載のミドルウェア例 )JDK8の脆弱性 WindowsServer2012R2の脆弱性 Internet Explorerの脆弱性による問題 OSに侵入したウィルスによる問題 注意各ベンダーから提供される修正プログラムを必ず適用してください ミドルウェアベンダーからの修正プログラムを適用 Oracle Java の脆弱性対策について (CVE-2015-0469 等 ) http://www.ipa.go.jp/security/ciadr/vul/20150415-jre.html OS Webブラウザは定期的なWindows Updateを実施 Microsoft 製品の脆弱性対策について (2015 年 5 月 ) http://www.ipa.go.jp/security/ciadr/vul/20150513-ms.html コラム 修正プログラムの適用によるintra-mart 製品への影響は? 原則 影響はないと考えられます 脆弱性に対する修正となるため 動作仕様が変更となる事はないと考えられます ただし 弊社から提供するものではありませんので 修正プログラムの詳細については各ベンダー側へご確認ください 修正プログラム適用後に問題が発生した場合は 弊社までお問合せください intra-mart 製品 ( パッケージ部分 ) intra-mart 製品のセキュリティ ( 脆弱性 ) 対策製品リリース前 IPA 安全なウェブサイトの作り方 をベースに製造 3

intra-martで運用する場合のセキュリティの考え方 http://www.ipa.go.jp/security/vuln/websecurity.html 一定の水準を持ったテストの実施製品リリース後製品リリース後 万が一 intra-mart 製品に関する部分でセキュリティに関する脆弱性などが見つかった場合は 最新アップデートに対する緊急パッチ 次期アップデートにて対応します 事象に応じて 過去 1 年のアップデートに対するパッチ提供も検討致します 注意 弊社から提供する脆弱性修正プログラムによって 原則 動作仕様が変更になる事はありません 弊社製品のセキュリティ ( 脆弱性 ) 対応の一例 クロスサイトスクリプティング HTTPレスポンス分割パラメータ改竄 Hiddenフィールドの不正な操作バックドア デバッグオプションパス名パラメータの未チェック / ディレクトリ トラバーサルメールヘッダ インジェクションセッション管理の不備バッファオーバーフロー OSコマンドインジェクション SQLインジェクション強制ブラウジング Cookieの濫用コンテンツ脆弱性 CSRF ( クロスサイト リクエスト フォージェリ ) HTTPヘッダ インジェクションクリックジャッキングアクセス制御や認可制御の欠落 代表的な脆弱性に対する intra-mart の方針 (1) パラメータタンパリングなど URL 操作 リクエスト操作によるセキュリティ intra-mart 製品は ユーザに紐付けられた権限 (IM-Authz) が対象リソースへのアクセスを厳密に制限し ます このため 不正なパラメータが送られた場合においても 通常は個人に割当られた情報のみが開示 される仕組みです ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れ によるセキュリティリスクがあります クロスサイト スクリプティング 通常ユーザが入力する箇所については クロスサイト スクリプティングを想定したサニタイジング ( 無害 化 ) 処理を行ったアプリケーションを作成しています ただし Web ブラウザそのものの脆弱性に関するス クリプトなどは 対応しかねる部分があります また 一部管理者向けの機能にて 悪意あるスクリプトが 入れられてしまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う 必要があります SQLインジェクション 通常ユーザが入力する箇所については SQL インジェクションを想定したサニタイジング ( 無害化 ) 処理を 行ったアプリケーションを作成しています また 一部管理者向けの機能にて 悪意ある SQL が入れられて しまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う必要があ ります 4

代表的な脆弱性に対する intra-mart の方針 (2) ブロークンアクセスコントロール intra-mart 製品は ユーザに紐付けられた権限 (IM-Authz) が対象リソースへのアクセスを厳密に制限し ます このため 不正なパラメータが送られた場合においても 通常は個人に割当られた情報のみが開示 される仕組みです ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れ によるセキュリティリスクがあります バッファーオーバーフロー intra-mart 製品は Java で作成されています 通常は不正なメモリ領域にアクセスさせるようなパラメータ を侵入させることは困難な仕組みです セッションハイジャック セッションポイズニング セッションハイジャックについては 今現在のアーキテクチャにおいてはリスクを完全に回避することが困 難です このため 物理的なレイヤでの制御や OS でのセキュリティ強化によって ユーザの Cookie を秘匿 に保っておくなどの対策が必要です 個別に開発したアプリケーション 連携先アプリケーション SIer 開発のプログラム 連携先の ERP や Web サービスのセキュリティ対策 弊社 intra-mart 製品基盤上で動作する個別に開発したアプリケーション 連携先アプリケーションについ ては Sier お客様側でセキュリティ ( 脆弱性 ) 対策が別途必要です 注意 製品基盤で全て担保されるものではありません 脆弱性検知ツールや 脆弱性診断サービス等のご利用をご検討ください コラム どこまで対策を行えばよいのか? お客様企業におけるセキュリティポリシーや RFP( 提案依頼書 ) に盛り込まれるセキュリティ要件 システムの用途 ( 外部への公開有無 機密情報の取り扱いレベル 利用者の範囲 ) により異なります 以上でお困りの場合 弊社コンサルティングサービスをご利用ください 個別に開発したアプリケーション 連携 先アプリケーションなど お客様毎で最適なご提案が可能です サーバ OS Web サーバ等のインフラ部分の設定 管理の徹底 サーバその他 物理的なネットワークに関するセキュリティ対策例 ) 暗号化通信 (SSL) VPN 回線 専用回線 Firewall 等のアーキテクチャ intra-mart 製品の取り扱うセキュリティは 物理システムや通信アーキテクチャなどを除いた アプリケーションレイヤーの一部分です 5

注意 intra-martで運用する場合のセキュリティの考え方 intra-mart( 製品基盤 ) としてのセキュリティ対策は施していますが その上で Firewallによるアクセス制御 SSLクライアント認証 VPN 敷設 その他ウィルス対策ソフト導入などの弊社製品の範囲外については別途 対策を総じて講じる必要があります インフラ等のシステム初期構築のみではなく その後の運用も考慮したセキュリティ対策を検討する必要があります コラム どこまで対策を行えばよいのか? お客様企業におけるセキュリティポリシーや RFP( 提案依頼書 ) に盛り込まれるセキュリティ要件 システムの用途 ( 外部への公開有無 機密情報の取り扱いレベル 利用者の範囲 ) により異なります 以上でお困りの場合は 弊社コンサルティングサービスまでご相談ください 6

各製品部分に潜むセキュリティ対策 各製品を以下のように分類します ミドルウェア製品 ミドルウェア製品のセキュリティ ( 脆弱性 ) 対策リリースノート システム要件 内に記載のミドルウェア例 )JDK8の脆弱性 WindowsServer2012R2の脆弱性 Internet Explorerの脆弱性による問題 OSに侵入したウィルスによる問題 注意各ベンダーから提供される修正プログラムを必ず適用してください ミドルウェアベンダーからの修正プログラムを適用 Oracle Java の脆弱性対策について (CVE-2015-0469 等 ) http://www.ipa.go.jp/security/ciadr/vul/20150415-jre.html OS Webブラウザは定期的なWindows Updateを実施 Microsoft 製品の脆弱性対策について (2015 年 5 月 ) http://www.ipa.go.jp/security/ciadr/vul/20150513-ms.html コラム 修正プログラムの適用によるintra-mart 製品への影響は? 原則 影響はないと考えられます 脆弱性に対する修正となるため 動作仕様が変更となる事はないと考えられます ただし 弊社から提供するものではありませんので 修正プログラムの詳細については各ベンダー側へご確認ください 修正プログラム適用後に問題が発生した場合は 弊社までお問合せください intra-mart 製品 ( パッケージ部分 ) intra-mart 製品のセキュリティ ( 脆弱性 ) 対策製品リリース前 IPA 安全なウェブサイトの作り方 をベースに製造 http://www.ipa.go.jp/security/vuln/websecurity.html 一定の水準を持ったテストの実施製品リリース後製品リリース後 万が一 intra-mart 製品に関する部分でセキュリティに関する脆弱性などが見つかった場合は 最新アップデートに対する緊急パッチ 次期アップデートにて対応します 事象に応じて 過去 1 年のアップデートに対するパッチ提供も検討致します 7

注意 弊社から提供する脆弱性修正プログラムによって 原則 動作仕様が変更になる事はありません 弊社製品のセキュリティ ( 脆弱性 ) 対応の一例 クロスサイトスクリプティング HTTPレスポンス分割パラメータ改竄 Hiddenフィールドの不正な操作バックドア デバッグオプションパス名パラメータの未チェック / ディレクトリ トラバーサルメールヘッダ インジェクションセッション管理の不備バッファオーバーフロー OSコマンドインジェクション SQLインジェクション強制ブラウジング Cookieの濫用コンテンツ脆弱性 CSRF ( クロスサイト リクエスト フォージェリ ) HTTPヘッダ インジェクションクリックジャッキングアクセス制御や認可制御の欠落 代表的な脆弱性に対する intra-mart の方針 (1) パラメータタンパリングなど URL 操作 リクエスト操作によるセキュリティ intra-mart 製品は ユーザに紐付けられた権限 (IM-Authz) が対象リソースへのアクセスを厳密に制限し ます このため 不正なパラメータが送られた場合においても 通常は個人に割当られた情報のみが開示 される仕組みです ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れ によるセキュリティリスクがあります クロスサイト スクリプティング 通常ユーザが入力する箇所については クロスサイト スクリプティングを想定したサニタイジング ( 無害 化 ) 処理を行ったアプリケーションを作成しています ただし Web ブラウザそのものの脆弱性に関するス クリプトなどは 対応しかねる部分があります また 一部管理者向けの機能にて 悪意あるスクリプトが 入れられてしまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う 必要があります SQLインジェクション 通常ユーザが入力する箇所については SQL インジェクションを想定したサニタイジング ( 無害化 ) 処理を 行ったアプリケーションを作成しています また 一部管理者向けの機能にて 悪意ある SQL が入れられて しまうリスクがあります これらについては アクセス権の厳密な運用によってリスク回避を行う必要があ ります 代表的な脆弱性に対する intra-mart の方針 (2) ブロークンアクセスコントロール intra-mart 製品は ユーザに紐付けられた権限 (IM-Authz) が対象リソースへのアクセスを厳密に制限し ます このため 不正なパラメータが送られた場合においても 通常は個人に割当られた情報のみが開示 される仕組みです ただし ユーザアプリケーション カスタマイズアプリケーション その他設定の漏れ によるセキュリティリスクがあります 8

バッファーオーバーフロー intra-mart 製品は Java で作成されています 通常は不正なメモリ領域にアクセスさせるようなパラメータ を侵入させることは困難な仕組みです セッションハイジャック セッションポイズニング セッションハイジャックについては 今現在のアーキテクチャにおいてはリスクを完全に回避することが困 難です このため 物理的なレイヤでの制御や OS でのセキュリティ強化によって ユーザの Cookie を秘匿 に保っておくなどの対策が必要です 9

個別に開発したアプリケーション 連携先アプリケーション SIer 開発のプログラム 連携先の ERP や Web サービスのセキュリティ対策 弊社 intra-mart 製品基盤上で動作する個別に開発したアプリケーション 連携先アプリケーションについ ては Sier お客様側でセキュリティ ( 脆弱性 ) 対策が別途必要です 注意 製品基盤で全て担保されるものではありません 脆弱性検知ツールや 脆弱性診断サービス等のご利用をご検討ください コラム どこまで対策を行えばよいのか? お客様企業におけるセキュリティポリシーや RFP( 提案依頼書 ) に盛り込まれるセキュリティ要件 システムの用途 ( 外部への公開有無 機密情報の取り扱いレベル 利用者の範囲 ) により異なります 以上でお困りの場合 弊社コンサルティングサービスをご利用ください 個別に開発したアプリケーション 連携 先アプリケーションなど お客様毎で最適なご提案が可能です 10

サーバ OS Web サーバ等のインフラ部分の設定 管理の徹底 サーバその他 物理的なネットワークに関するセキュリティ対策例 ) 暗号化通信 (SSL) VPN 回線 専用回線 Firewall 等のアーキテクチャ intra-mart 製品の取り扱うセキュリティは 物理システムや通信アーキテクチャなどを除いた アプリケーションレイヤーの一部分です 注意 intra-mart( 製品基盤 ) としてのセキュリティ対策は施していますが その上で Firewallによるアクセス制御 SSLクライアント認証 VPN 敷設 その他ウィルス対策ソフト導入などの弊社製品の範囲外については別途 対策を総じて講じる必要があります インフラ等のシステム初期構築のみではなく その後の運用も考慮したセキュリティ対策を検討する必要があります コラム どこまで対策を行えばよいのか? お客様企業におけるセキュリティポリシーや RFP( 提案依頼書 ) に盛り込まれるセキュリティ要件 システムの用途 ( 外部への公開有無 機密情報の取り扱いレベル 利用者の範囲 ) により異なります 以上でお困りの場合は 弊社コンサルティングサービスまでご相談ください Copyright 2015 NTT DATA INTRAMART CORPORATION 11

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック