IT・WEB開発

サイト構築・ウェブ開発に必要なセキュリティ対策とは?

サイトやウェブサービスへの悪意ある攻撃は、情報漏えいやデータベースの書き換えなどビジネスの致命的なダメージを与えるきっかけとなります。SQLインジェクションやクロスサイト・スクリプティングなどのサイト・ウェブサービス特有の脆弱性に対しても、しっかりとセキュリティ対策を立てておかなければいけません。

サイト構築・ウェブ開発に必要なセキュリティ対策とは?

サイト構築・ウェブ開発の代表的なセキュリティ対策とは?

サイト構築・ウェブ開発のセキュリティ対策には、ウェブ・アプリケーションとウェブ・サーバそれぞれに実装すべき対策が挙げられます。サイト構築・ウェブ開発の際はもちろん、運用・保守上で安全性に対する取り組みも継続して行わなければいけません。

サイト構築・ウェブ開発の代表的なセキュリティ対策とは?

SQL インジェクションによる不正を防ぐ

ウェブ・アプリケーションの代表的な脅威には、SQL インジェクションやOS コマンド・インジェクションなどが挙げられます。SQL インジェクションはデータベースと連携したウェブ・アプリケーションに多い脅威であり、悪意あるユーザーによって、不正にデータベースを書き換えられる恐れがあります。これらの対策には、SQLの組み立てをすべて部レースホルダーで実装する、パラメータに直接SQL文を指定しないなどが挙げられます。

SQL インジェクションによる不正を防ぐ

セッション・ハイジャックへの対策

多数の人がログインするウェブ・アプリケーションではセッションID管理の不備により、悪意あるユーザーが不正にセッションIDを取得し、「なりすまし」ユーザーとして不正アクセスを行う危険性があります。金銭処理が発生するサイトにおいては致命的となる危険があるため、必ず対策をほど差なければいけません。これらの対応策として、セッションIDの推測が難しい設定やHTTPS通信で利用するCookieにsecure属性を加えるなどが挙げられます。

セッション・ハイジャックへの対策

ウェブサーバの定期的な安全対策の実施

ウェブサーバへのセキュリティ対策はサイト全体の安全対策につながります。そのためウェブサーバの安全対策では、OS・ソフトウェアの脆弱性に関する情報の取得やパスワード以外の第二認証の実施、不要サービス・アカウントの停止、ウェブ公開用ディレクトリに未公開ファイルを置かないなど日頃から実施できる対策を行うことが大切です。

ウェブサーバの定期的な安全対策の実施

Written by woogen
IT企業でのプロデューサー、マネージャーとして、Web企画・サービスを経験し、その後、フリーランスとして独立。
経営、マーケティング、人事などを中心に執筆活動を行うWebライター。
現在、物販やホームページ制作、近年では個人事業主向けにSEO対策代行も行っています。
noteでも執筆を開始。

PICK UP NEWS