セキュリティ

脆弱性対策

Webアプリぜい弱性診断の費用対効果

これは、なかなか難しいテーマです。
セキュリティ対策に関して、投資しただけの効果があるのかどうか、なかなかわかりにくいからです。

そんな中、Webアプリケーション脆弱性診断に関するアンケート結果が公表されています。
導入検討の際の、参考になるかもしれません。
http://techtarget.itmedia.co.jp/tt/news/0905/14/news01.html

ファイアーウォール設定

Windowsサービスプログラムの通信を許可するときは、そのEXEファイルそのものを許可する設定にしない。
ポート番号単位などで許可設定を行い、できるだけ最小限の権限を与えるようにする。

そうしなければ、サービスプログラムが外部から簡単に攻撃されてしまう。

情報漏えい後の対応

複数アドレスへメール送信時に、CCやTOなどに誤って送信者のメールアドレスをすべて入れてしまうなどして、メールアドレスを漏洩させてしまった場合の対応として、以下の対応が必要となる。

• 受信した顧客に対象メールの削除をお願いする
• 再発防止策を有識者を入れて検討する
• 再発防止策が整うまでメルマガの配信は再開しない
• その他のセキュリティ対策についても見直しを行なう

相手への信頼を回復するべく、対応を進めていくことが重要である。
参考：http://pc.nikkeibp.co.jp/article/column/20100712/1026051

不正アクセス、ウイルスが仕掛けられた時の調査

不正アクセスが疑われているとき、何かのウイルスが仕掛けられているとき、悪質なプログラムによって外部への通信が行われている場合もあります。
それをチェックするための最低限の調査方法は以下の通り。
（Windows環境での説明である点に注意）

• netstat -bコマンドを入力し、ポート別のアプリケーションを取得。想定外のプログラムが動いていないかを確認
• net userコマンドを入力し、見知らぬユーザーアカウントが作られていないかを確認
• すべてのドライブにおいて、異常なファイルが作られていないかを確認
• すべてのドライブのファイルが改ざんされていないかをチェック。更新日時でチャックもできるが、各ファイルのハッシュ値を比較するほうがより正確なチェックができる。
• OSやサーバープログラムのログをチェック。不正な内容のログがないか、Webサーバーログに異常なURLやSQL文が存在しないかを確認する。

MBSAと他のセキュリティツールとの比較

セキュリティチェックツールとしてMicrosoft Baseline Security Analyzer（MBSA）というツールがあります。
このツールは、市販の製品と比べると機能不足であることが、下記の記事で指摘されています。

Microsoftの脆弱性スキャナ「MBSA」の限界
http://techtarget.itmedia.co.jp/tt/news/1011/29/news01.html

MBSAは確かに、他の脆弱性チェックと比較すると、簡易的なもののみチェックしているという印象はあります。
より高度な脆弱性のチェックを行うのであれば、やはり他のツールを使うことを検討したほうがよさそうです。

今後、MBSAが機能向上するかどうかも、注視したいと思います。

携帯電話向けサイトのセキュリティ

携帯電話の「かんたんログイン」を安全に実装するための条件という記事が参考になります。以下、この記事の一部引用です。

• 携帯電話事業者のゲートウェイからのアクセスのみを受け付ける（IPアドレスチェック）
• リモートIPアドレスを基にキャリア判定を行う（User-AgentなどHTTPリクエストヘッダで判定してはいけない）
• 契約者固有IDとしてはiモードID、EZ番号、ユーザーID（ソフトバンク）のみを用いる
• HTTPSではかんたんログインを受け付けない
• Hostヘッダのチェックまたは名前ベースのバーチャルホストを設定する
• ソフトバンクの非公式JavaScript対応端末へ何らかの対処を行う

しかし、これらで「十分条件」になるかは、携帯電話事業者が保証してくれない限り分かりません。
Cookieを使うのがもっとも安全と考えられているようです。