情報処理推進機構(IPA)は5月9日、Webサイトをターゲットとした攻撃事件が増加していることを背景として、Webサイト運営者に向けた対策徹底のための注意喚起を行った。
IPAが行った注意喚起の具体的な内容は以下の通り。
- サーバの脆弱性対策
ベンダー情報や脆弱性対策データベース「JVN iPedia」を活用し、OSやサーバーソフトウェアの脆弱性対策を定期的に行うこと。また、Webアプリケーションの脆弱性についても、脆弱性診断の実施やWAF(Web Application Firewall)などの活用も検討すること。
ネットワーク利用における対策
ファイアウォールやネットワーク監視、ウイルス対策を実施するほか、暗号化による情報保護を行ってリスク低減を図ること。重要情報の保護
情報へのアクセス制御や暗号化など、多段防御を実施すること。日常的な運用監視と事後対応
iLogScannerなどを活用してアクセスログを分析するほか、データベースへのアクセス監視を行うことで外部からの攻撃を迅速に発見できる体制や仕組みを整備すること。また、事件・事故が発覚した場合の対応マニュアル・体制を確立し、二次被害を最小限にとどめること。個人情報の扱いについては個人情報保護法やプライバシーマーク制度(クレジットカード情報を扱う場合はPCI DSS)を参考にすること。