【Web改竄の対策とツール（第2章）】 NTTデータ・セキュリティ株式会社〜Scan Security Handbook Vol.5抜粋記事〜

詳細＆申込: http://vagabond.co.jp/vv/p-sh05.htm
「Web改竄への総合的なセキュリティ対策」

１．はじめに

　官公庁Webの書き換え事件を契機に、というわけでもないのだろうが、一般企業をはじめとする Web サイトの設計においても、Web 改ざんの防止策について検討がなされる機会が増えてきた。セキュリティ意識の向上という面では喜ばしいことではあるものの、実際に検討されている内容について見てみれば、改ざんの防止という論点でのみの、局所的、抽象的な論議に終始してしまっている場合が多いように見受けられる。

　Web改ざんがどのような手口でなされるにせよ、最終的には Web サーバへの攻撃者によるクラックが発生することによって行われる以上は、Web 改ざんへの対策は、すなわち Web サーバへのクラック防止策、特に管理者権限を奪われることを防止することにほかならない。

　セキュリティ対策を語るにあたっての「不正侵入の防止」とは、あくまで結果として不正なアクセスによるシステムへの侵入をあらゆる面から防止できることなのであって、単一の手段をその言葉が示しているわけではない。現実にどのような不正侵入がなされうるかを想定し、それに対する対策を取ることによりのみセキュリティレベルの向上がなされると考える。

　不正侵入とそれによる被害の最小化を検討するにあたって、しなければならないことは、
○不正な侵入ができないようにすること
○書き換えを発生させない、不正コンテンツを検知する
○復旧が素早くできるようにする

などが挙げられる。それぞれ考えていくこととしよう。

NTTデータ・セキュリティ株式会社
コンサルティング本部右松浩

※本記事は、Scan Security Handbook Vol.5（Web改竄の対策とツール）から　の抜粋記事です。Scan Security Handbook Vol.5は下記URLよりお申込いた　だけます。詳細＆申込: http://vagabond.co.jp/vv/p-sh05.htm

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/scan/