なぜPHPアプリにセキュリティホールが多いのか?

【スクリプトインジェクション対策19】ユーザを教育する

この記事を読むのに必要な時間:およそ 0.5 分

サイト運営者が万が一に備えるだけでは不十分です。最も有効なセキュリティ対策の一つは,ユーザが正しいセキュリティ知識を身につけるよう教育することです。ユーザの教育は時間とコストが必要ですが,サイトのユーザを正しく教育する重要性を考えると,ユーザの教育はセキュリティ対策に欠かせない要素です。

Webサイトがいくら万全の対策を行っていたとしても,ユーザが攻撃用のワイヤレスLANのアクセスポイントに接続してサイトへログインしてしまうと,HTTPSかJavaScriptによるチャレンジレスポンス認証を利用していない限り,ユーザ名とパスワードを簡単に盗まれてしいます。Webブラウザやプラグインの脆弱性を放置していると,マルウェアを配布しているサイトにアクセスして,ルートキットやキーロガーをインストールされユーザIDを盗まれてしまうかも知れません。

ユーザが自分のコンピュータ環境を安全に保つことはすべてのWebサイトにとってメリットがあります。自前のコンテンツを用意しなくても,コンピュータ環境を安全に保つための対策はIPA等のサイトへのリンクでも構わないと思います。

IPAセキュリティセンター
http://www.ipa.go.jp/security/

どのようなシステムでもシステム全体としてセキュリティが維持できていないと安全性は維持できません。ユーザのコンピュータ環境はWebシステムの一部と考えてユーザを教育することは欠かせません。

対策のまとめ

  • Webアプリケーション脆弱性の仕組みとリスクを解説する
  • 公衆無線LAN,共有PCなどを利用する場合のリスクを解説する
  • 古いブラウザを利用しているユーザにアップグレードを勧める
  • 古いプラグインを利用しているユーザにアップグレードを勧める
  • コンピュータにインストールされたソフトウェアのアップグレードを勧める
  • サイトを利用し終わったらログオフすることを勧める
  • サイトごとに別のパスワードを設定することを勧める
  • 長い期間同じパスワードを利用しないように勧める
  • 前回ログインした時間,IPアドレスを確認するように勧める
  • 決して問題のあるサイト証明書を許可するように求めない
  • サイト証明書の確認方法を解説する
  • セッションの有効期限,自動ログインの解除方法などセキュリティ上重要な情報を開示する
  • サイトが利用しているドメイン名を解説する(フィッシング対策)

著者プロフィール

大垣靖男(おおがきやすお)

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。

URLhttp://blog.ohgaki.net/

著書

コメント

コメントの記入