情報処理推進機構(IPA、藤原武平太理事長)は11月1日、ウェブサイト開発者や運営者向けの技術資料「安全なウェブサイトの作り方 改訂第2版」を「IPAセキュリティセンター」のウェブサイト上で公開した。資料は全48ページのPDFファイルで無料で閲覧・ダウンロードできる。

 「安全なウェブサイトの作り方」は、IPAが届出を受けた脆弱性関連情報をもとに、届出件数の多かった脆弱性や、攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料。第1版は06年1月31日に公開、5月11日に第2刷に更新した。

 今回の「改訂第2版」では、各脆弱性についてより深く理解できるよう、攻撃によって発生する脅威と、注意が必要なウェブサイトの特徴に関する情報を追記。また、ウェブアプリケーションの脆弱性について、新たに「CSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)」と「HTTPヘッダ・インジェクション」の解説を追加。巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも追加した。

 このほか、第1章では「ウェブアプリケーションのセキュリティ実装」として、「SQLインジェクション」や「クロスサイト・スクリプティング」など8個の脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減を期待できる保険的な対策を示した。第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバーのセキュリティ対策や、フィッシング詐欺を助長しないための対策など5つの観点から、ウェブサイト全体の安全性を向上させる対策も提示した。

 資料の中で取り上げた脆弱性は、IPAに報告されたウェブサイトの脆弱性の9割を網羅しており、IPAでは、同資料をウェブサイトのセキュリティ問題の解決に活用して欲しいとしている。