ECサイト運営者向けの、知っておきたいWEBアプリの脆弱性とその対策 ■第2回■

■ 情報漏洩防止はしっかりした設定から

　Webサイトを構築する場合、特にセキュリティ面で配慮しなくてはいけないということではなく、設計、開発を順序良く整理しながら進めてゆくなかでカバー可能なことが多いのである。しかしスピード重視である現在のビジネススタイルの中で、全てをカバーすることは金銭面でも時間的な面でも無理がある事も事実だろう。ほとんどの開発はカットオーバーに追われる日々との戦いであり、まずは「動かす」ことが先決であり、セキュリティは最後の最後へと回されてしまっているのが現状だろう。

　そんな状況下で、前回、わざわざWebアプリケーション（Webサイト）開発においてセキュリティ面から見た推奨実施項目を10個程列挙したが、今回からはそれらを掘り下げて解説することとする。中には「こんな事もやっていないサイトがあるのか？」と眉をひそめる読者もいるとは思うが、実態はこんなものなのです。

●HTTPS（SSL）通信は導入されているか？

　もはやブラウザを使ってWebを閲覧するほとんどの人が知っていると思われるHTTPS（SSL）通信だが、以外と間違った使い方をしているサイトが驚く程多く、弊社が検査したWebサイトの約8割にこの問題が存在していた。

　以前はSSLを導入するとサーバ側での処理に高い負荷がかかるということがあったが、現在では専用のアクセレレータ等を導入し、Webサーバの負荷を問題視するレベルにはないと思われる。

　SSLの利点は大きく2点からなる。

　1．通信経路を暗号化することによる通信内容の安全性の向上。
　2．表示している画面の完全性。

　一番多く見られる問題は、ユーザが入力を行う画面における非SSLである。一見、送信先（POST先）がHTTPSであれば問題無いように思えるが、それではSSLの利点の半分を無駄にしてしまっていることになる。

三井物産セキュアディレクション株式会社目崎匠
http://www.mbsd.jp/

全文はScan Security Management本誌をご覧ください
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_netsec
無料版（ダイジェスト版）では本文の一部をご覧頂けます。
http://www.ns-research.jp/c2/ssm/