セキュリティについて
Webアプリケーション
- 1.外部機関によるセキュリティチェックを、年に一回実施しております。
- ■バッファオーバーフロー対策(入力値データ長のチェック等)
→ アプリケーションに対して大量の入力データを送付し、サーバを乗っ取ったり動作不能にする攻撃に対する対策
- ■クロスサイトスクリプティング対策
→ 不正なタグやスクリプトを送信し、ページの改ざんや情報を奪う攻撃に対する対策
- ■パラメータ改ざん対策
→ アプリケーションが想定していないパラメータを送信し、アプリケーションの誤動作をさせる攻撃に対する対策
- ■バックドアとデバッグオプション対策
→ 隠れたデバックまたはバックドアを利用し、付与された権限以上のエリア/機能を使用する攻撃に対する対策
- ■強制的ブラウズ対策
→ 公開されていないファイルに直接アクセスしたり、認証後のページを未認証状態で直接アクセスする攻撃に対する対策
- ■セッションのハイジャック/リプレイ/Fixation対策
→ 他人に成りすましアクセスする攻撃に対する対策
- ■クロスサイトリクエストフォージェリー対策
→ 正規ユーザの権限を利用して強制的に特定の処理を行わせる攻撃に対する対策
- ■ディレクトリトラバーサル対策
→ 「../」などの文字列を含んだリクエストを送ることで、公開されていないディレクトリにアクセスする攻撃に対する対策 - ■SQLインジェクション対策
→ 不正なSQLを実行させ、データベースのデータを抜き取る攻撃に対する対策
- ■OSコマンドインジェクション対策
→ 不正なOSコマンドを実行し、サーバを乗っ取る攻撃に対する対策
- ■表示するエラー画面に攻撃の糸口となる情報を含めないなど、エラーメッセージ対策
→ 不正な処理を行った場合のエラーメッセージから次の攻撃の糸口となる情報収集をする攻撃に対する対策
- 2.データの送受信を行う画面は暗号化経路(HTTPS)を利用しています。
- 3.バージョンアップ時には、IPA(独立行政法人 情報処理推進機構)が公開する「ウェブアプリケーションのセキュリティ実装 チェックリスト」をもとに、セキュリティチェックを行っています。
- 4.Webアプリケーションによる取得情報はWeb公開ディレクトリ以外の場所に保存しています。
- 5.セッション管理では不要な情報(個人情報や機密情報など、セッションID情報以外)を引き渡さないようにしています。
- 6.重要情報(個人情報、認証情報)を利用者の端末上に残さない設定としています。
ネットワーク構成
- 1.インターネットなどの外部ネットワークに接続する場合、サーバ等を設置しているネットワークとの間にファイアウォールを設置しています。
- 2.ファイアウォールで許可しているアクセスは、サービスを提供するサーバのIPアドレスとポート(サービス)のみに限定しています。
- 3.DBサーバはインターネットから直接接続出来ない内部セグメントに設置しています。
サーバ構成
- 1.Webサーバ(Apache等)のバージョン情報は隠蔽しています。
→ 攻撃者に攻撃の手がかりを与えることを防ぐため
- 2.Webサーバでは不要なディレクトリを参照できないように、アクセス制御設定をしています。
システム運用
- 1.不正アクセス監視やアプリケーション障害監視のため、アクセスログ(例:Webサーバのログ、CGIのログなど)を取得し、1年以上保管しています。
- 2.不正アクセス監視のため、ファイアウォールで以下のログを取得しています。(接続元IPアドレス/接続元ポート番号/接続先IPアドレス/接続先ポート番号/通信日時)
- 3.監視ツールで以下の監視を常時行っています。
- ■サーバー負荷監視(5分定期監視)
- ■サーバー死活監視(リアルタイム監視)
- ■ハードディスク容量監視(5分定期監視)
- ■アプリケーションエラー監視(リアルタイム監視)
- 4.データベースのバックアップは、日次のバックアップを保持しています。
- 5.OSやアプリケーションのセキュリティパッチがリスクに応じて速やかに適用されるようにしています。緊急度の高い脆弱性は、お客様に通知の上、メンテナンスを実施し対応しています。
- 6.インターネットからシステム環境(サーバ、ネットワーク機器等)に接続する際は、盗聴・改竄対策のため、特定のサーバー管理者が暗号化経路を用いて接続しています。
PAGE TOP