「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。

「安全なウェブサイトの作り方」改訂第7版の内容

・第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。

・第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関する対策等7つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。

・第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から8種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。

・巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。

別冊：「安全なSQLの呼び出し方」 の内容

第1章では、「安全なウェブサイトの作り方」との関連を記載しています。

第2章では、SQLインジェクションが発生する原因を説明しています。

第3章では、アプリケーションがSQL文を組み立てる方法について説明しています。

第4章では、安全なSQL呼び出しのためには何が必要かを説明しています。

第5章では、5種類のプログラミング言語とデータベースの組み合わせ（JavaとOracle、PHPとPostgreSQL、PerlとMySQL、JavaとMySQL、ASP.NETとSQL Server）を取り上げ、SQLインジェクション攻撃に対して安全な実装方法を調査し、安全なソースコードの書き方を解説しています。

付録では、文字コードに関する問題など、特定のデータベースに関する情報をまとめています。

「ウェブ健康診断仕様」には、危険度の高い脆弱性など13の診断項目について、検出パターンと、それに対応した脆弱性有無の判定基準が記載されています。

ただし、「ウェブ健康診断仕様」の診断は、検査パターンを絞り込んだ診断ですので、脆弱性が検出されなかった場合でも、安全宣言には繋がりません。診断の結果を確認した後は、より詳細な診断を受けたり、「安全なウェブサイトの作り方」を参考に対策を実装することなどを推奨します。

資料のダウンロード

「安全なウェブサイトの作り方」

別冊：「安全なSQLの呼び出し方」

別冊：「ウェブ健康診断仕様」

ウェブアプリケーションのセキュリティ実装（第1章の抜粋）

参考情報

謝辞

本資料の作成には次の方々にもご協力いただきました。 NECシステムテクノロジー（株）

（独）産業技術総合研究所 情報セキュリティ研究センター

日本電気（株）

（株）日立製作所

富士通（株）

（株）ラック

脚注

本件に関するお問い合わせ先

IPA セキュリティセンター 熊谷／小林

TEL：03-5978-7527 FAX：03-5978-7552 E-mail：

報道関係からのお問い合わせ先

IPA 戦略企画部 広報戦略グループ

Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:

更新履歴