4. サーバセキュリティ
サーバの要塞化
- 最新バージョンの維持
- パッチの適用
- 検証環境を用意して回帰テスト
- リリース後も異常を検知する監視体制を整備
- 元に戻せるように必要ファイルのバックアップ
- デフォルト状態からの変更
- 不要なサービスの停止
- 不要なアカウントの削除
- 適切なアクセス権の設定
- ログの設定
Webサーバのセキュリティ
- 重要なファイルを公開ディレクトリに置かない
- HTTP認証
- セッション管理
- クエストリングにセッションIDを含める
- GETメソッド
- URLの後の?に続ける
- POSTメソッド
- GETメソッド
- hiddenフィールドにセッションIDを含める
- Cookie
- 安全な利用方法
- 推測しにくいセッションID
- 適切なdomain属性
- 適切な有効期限
- Expires:日時を設定
- Max-Age:秒を設定
- Secure属性
- httpsのみ
- HttpOnly属性
- JavaScriptはNG
- 安全な利用方法
- 攻撃と対応策
- 攻撃
- セッションハイジャック
- セッションIDを盗聴、推測することによるなりすまし
- セッションフィクセーション
- HTTPヘッダインジェクション
- クエストリングに不正なコードを挿入する
- 対応策
- 改行コード(CRLF)
- 改行コードを無効化、改行後を削除
- セッションハイジャック
- 攻撃
- クエストリングにセッションIDを含める
- WAFの導入
- オープンリダイレクト対策
- リダイレクト先のホワイトリスト
- クロスドメイン
- Same-Originポリシ
- JSONP
- 危険
- CORS
- Cross-Origin Resource Sharing
- XMLHttpRequest
DNSサーバ
プロキシサーバ
- 目的
- 端末を隠蔽
- 一元管理
- アクセスログチェック
- URLフィルタリングソフト
- アンチウィルスソフト
- 認証機能
- 標的型攻撃の出口対策
DBサーバ
- 表領域暗号化
- 透過的暗号化
- 利用者側は意識しない
- 透過的暗号化
- バックアップデータの暗号化
- APとDBサーバ間の通信経路の暗号化
セキュリティ対策
- 境界防御
- ゲートウェイセキュリティ
- エンドポイントセキュリティ
- EPR
- Endpoint Protection Platform
- 防前対策
- 各種アンチウイルスソフト
- EDR
- Endpoint Detection and Response
- 事後対策
- EPR