ウェブサイトの安全性向上のための取り組み - Server
ウェブサーバに関する対策
- OS やソフトウェアの脆弱性情報を継続的に入手し、脆弱性への対処を行う
- ウェブサーバをリモート操作する際の認証方法として、パスワード認証以外の方法を検討する
- 不要なサービスやアカウントを停止または削除する
- 公開を想定していないファイルを、ウェブ公開用のディレクトリ以下に置かない
DNS に関する対策
- ドメイン名およびその DNS サーバの登録状況を調査し、必要に応じて対処を行う
- DNS ソフトウェアの更新や設定を見直す
ネットワーク盗聴への対策
- 重要な情報を取り扱うウェブページでは、通信経路を暗号化する
- 利用者へ通知する重要情報は、メールで送らず、暗号化された 「 https:// 」のページに表示する
- ウェブサイト運営者がメールで受け取る重要情報を暗号化する
フィッシング詐欺を助長しないための対策
- EV SSL 証明書を取得し、サイトの運営者が誰であるかを証明する
- フレームを利用する場合、子フレームの URL を外部パラメータから生成しないように実装する
- 利用者がログイン後に移動するページをリダイレクト機能で動的に実装しているウェブサイトについて、リダイレクト先の URL として使用されるパラメータの値には、自サイトのドメインのみを許可するようにする
パスワードに関する対策
- 初期パスワードは、推測が困難な文字列で発行する
- パスワードの変更には、現行パスワードの入力を求める
- 入力後の応答メッセージが認証情報の推測のヒントとならない工夫をする
- 入力フィールドでは、パスワードは伏せ字で表示されるようにする
- パスワードをサーバ内で保管する際は、平文ではなくソルト付きハッシュ値の形で保管する
