エンジニアコラム IPA「安全なウェブサイトの作り方」第1章のHTML版が公開されました。

IPA 「安全なウェブサイトの作り方」第1章のHTML版が公開されました。

初めに

はじめまして、当社でエンジニアをしている加藤です。セキュリティに関する情報をエンジニア目線でご提供出来ればということで、改めてコラムの寄稿を開始致しました。 少しでも皆様のお役に立てればと思います。

IPA「安全なウェブサイトの作り方」とは

皆さんは、IPA(独立行政法人 情報処理推進機構)が提供している「安全なウェブサイトの作り方」はご存知でしょうか。

「安全なウェブサイトの作り方」は、IPAに届出があった件数の多い脆弱性や攻撃による影響度が大きい脆弱性について、適切なセキュリティを考慮した実装ができるように、IPAがウェブサイト開発者や運営者向けに公開している資料です。

その「安全なウェブサイトの作り方」の「ウェブアプリケーションのセキュリティ実装(第1章の抜粋)」が2020年7月よりHTML版で公開となっています。

(HTML版は、安全なウェブサイトの作り方の公開サイト内に、「ウェブアプリケーションのセキュリティ実装(第1章の抜粋)」という項目で公開されています。)

「安全なウェブサイトの作り方」は、これまでPDF形式にて公開されてきました。私の主観ではありますが、HTML版で公開されたことにより利便性が上がったと感じており、かなり好印象です。

HTML版のメリット

今回公開された「安全なウェブサイトの作り方」第1章のHTML版は、PDF版の第1章と同じ情報が掲載されています。それでも、HTML版にはPDF版には無い次のメリットが考えられます。

利用者側のメリット

「安全なウェブサイトの作り方」第1章では、11種類の脆弱性についての発生しうる脅威、注意が必要なサイト、根本的解決および保険的対策の説明が紹介されています。HTML版の場合、この公開されている個々の脆弱性の情報ページに直接アクセスすることが出来ます。

PDF版の場合、次の2段階の動きが必要です。

  1. 公開サイトからPDFを表示させる。
  2. PDF内の「目次を利用した移動」「検索機能による移動」といった機能にて対象のページを表示させる。

これでは手順が多くなり、手間を感じます。

特にスマホ、タブレッド端末等からの利用の場合は、画面による操作となりますので、手順は簡素化されていた方が良いでしょう。

また、ブラウザのお気に入りへの記録や仲間内での情報共有のためにリンクを紹介する場合も、直接情報ページにアクセス出来るURLを利用出来た方が便利です。

例)「安全なウェブサイトの作り方」の「1.9 クリックジャッキング」の内容を情報共有する目的でリンクを紹介する場合

【HTML版】 安全なウェブサイトの作り方 - 1.9 クリックジャッキング
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_9.html

【PDF版】 IPA「安全なウェブサイトの作り方」 41ページ
https://www.ipa.go.jp/files/000017316.pdf

さらに、脆弱性を説明する他のサイトが、脆弱性の説明の出典先や参考情報としてIPAの「安全なウェブサイトの作り方」の該当ページを紹介したい場合も、直接情報ページにアクセス出来るURLを案内出来た方が、サイト閲覧者も利用しやすくなります。

提供側のメリット

インターネット上で検索エンジンを利用した検索にはHTMLコンテンツの方が向いています。HTML版として公開することで、検索サイトでのキーワード検索結果にヒットする確率がPDF版より上がることが考えられます。このことは、情報提供側であるIPAにとってのメリットでしょう。

また利用者側のメリットで述べた効果によって二次利用先からのIPAの「安全なウェブサイトの作り方」サイトへの更なるアクセスに繋がることも想定されます。

HTML版利用時の注意点

メリットの多いと考えられるHTML版ですが、利用時の注意点が1つあります。

既に触れておりますが、HTML版はPDF版の第1章が掲載されており、11種類の脆弱性についての発生しうる脅威、注意が必要なサイト、根本的解決および保険的対策の説明が紹介されています。

この中の「根本的解決」と「保険的対策」についてですが、PDF版には、第1章以外のページに下記のことが記載されています。

  • 保険的対策は脆弱性の原因そのものを無くす対策ではないため、保険的対策のみに頼る設計は推奨されていない。
  • 根本的解決の手法を採用することに時間が掛かる場合などの暫定対策である。

HTML版のみを参照していると、そのことに気が付かず「保険的対策」のみだけでも恒久的な対策としてOKと解釈してしまう可能性があります。

PDF版4ページの「はじめに」の「脆弱性対策について-根本的解決と保険的対策-」のページには、「根本的解決」と「保険的対策」について下記の説明があります。

  • 「根本的解決」
    本書における「根本的解決」は、「脆弱性を作り込まない実装 」を実現する手法です。
  • 「保険的対策」
    本書における「保険的対策」は、「 攻撃による影響を軽減する対策 」です。

仮に「根本的解決」と「保険的対策」を車のタイヤのパンクに対する対応と考えた場合、次の違いがあると考えて良いでしょう。

  • 「根本的解決」
    新しいタイヤへの交換。車本来の性能を引き出し、長く走るには交換が必要です。
  • 「保険的対策」
    スペアタイヤへの交換またはパンク応急修理キット等による処置。修理工場までの移動といった短期の利用には耐えますが、車本来の性能は出せませんし、長期の利用を考慮したものではありません。

この前提を考慮した上で、根本的解決の手法と保険的対策の手法を参照して、可能な限り「根本的解決」の採用を検討する必要があります。

HTML版ではじめて「安全なウェブサイトの作り方」を閲覧する人は、この点を押さえておいたほうが良いと思います。

終わりに

IPA「安全なウェブサイトの作り方」について、PDFを開いて対象のページに移動する手間などで閲覧を敬遠されてきた方やPDFを閲覧出来ない環境の方は、これを機会に一度内容をチェックしてみては如何でしょうか。

参考

IPA「安全なウェブサイトの作り方」(公開サイト)
https://www.ipa.go.jp/security/vuln/websecurity.html

IPA「安全なウェブサイトの作り方」(PDF版)
https://www.ipa.go.jp/files/000017316.pdf

katoエンジニア

投稿者プロフィール

加藤です。
セキュリティの技術者やってます。
ネットワーク診断とツールによるWebアプリケーション診断を中心に業務を実施してます。
5年程度やってきたので、とりあえずCISSP取ってみました。

関連記事

ピックアップ記事

  1. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  2. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
  3. 近年のセキュリティ10大脅威 独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅…
ページ上部へ戻る