去る７月１４日、IPA（情報処理推進機構）が、「安全なウェブサイトの構築と運用管理に向けての１６ヶ条」を発表しています。

webアプリケーションが増加すれば、必然的に安全ではないwebアプリケーションもまた増加します。

特に最近は改ざん、偽装はもとより、不正に個人情報を取得するための攻撃手法も高度化し、管理者はセキュリティ対策のアップデートで大わらわです。

ただし、「安全なサイト」とはどのようなサイトなのか、webサイトをセキュアにするためには何が必要なのか、統一された見解はありませんでした。

そこでIPAが策定したガイドラインが、以下の様なものです。

1．ウェブアプリケーションのセキュリティ対策
（1） 公開すべきでないファイルを公開していませんか？
（2） 不要なページやウェブサイトを公開していませんか？
（3） 「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか？
（4） ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか？
（5） 不要なエラーメッセージを返していませんか？
（6） ウェブアプリケーションのログを保管し、定期的に確認していますか？

2．ウェブサーバのセキュリティ対策
（7） OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか？
（8） 不要なサービスやアプリケーションがありませんか？
（9） 不要なアカウントが登録されていませんか？
（10） 推測されにくい複雑なパスワードを使用していますか？
（11） ファイル、ディレクトリへの適切なアクセス制御をしていますか？
（12） ウェブサーバのログを保管し、定期的に確認していますか？

3．ネットワークのセキュリティ対策
（13） ルータ機器を使用してネットワークの境界で不要な通信を遮断していますか？
（14） ファイアウォールを使用して、適切に通信をフィルタリングしていますか？
（15） ウェブサーバ（または、ウェブアプリケーション）への不正な通信を検知または、遮断していますか？
（16） ネットワーク機器のログを保管し、定期的に確認していますか？