IPA、「安全なウェブサイトの作り方 改訂第2版」を発行

独立行政法人 情報処理推進機構（IPA）は1日、「安全なウェブサイトの作り方 改訂第 2版」（PDF）を IPA セキュリティセンターの Web サイト上で公開した。

安全なウェブサイトの作り方は、IPA が届出を受けた脆弱性関連情報をもとに、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、Web サイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料。2006年1月に第1版を提供した。

今回の改訂第2版では、攻撃により発生しうる脅威と、注意が必要な Web サイトの特徴に関する情報が追記されている。また Web アプリケーションの脆弱性について、新たに CSRF（Cross-Site Request Forgeries）と HTTP ヘッダインジェクションの解説を追加。同資料で取り上げている内容は、Web サイトに関する届出件数の約9割を網羅しているという。

さらに、巻末には Web アプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも追加されている。

第1章は「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクションやクロスサイト スクリプティングなど8個の脆弱性を取り上げ、根本的な解決策と保険的な対策を示している。第2章「ウェブサイトの安全性向上のための取り組み」では、Web サーバーのセキュリティ対策や、フィッシング詐欺を助長しないための対策などに触れている。