セキュリティの重要性は高まってますが、実際にどうすべきかのか、プロのベンダ任せになっており、個人的にどうすべきかはまったく指針が見えてないです。
せめて仮説くらい持ちたいと思い、情報をまとめてみました。
■備忘メモ
●中小企業の情報セキュリティ対策ガイドライン
5つのやるべき事
ーOSやソフトウェアは常に最新の状態へ
ーウイルス対策ソフトを導入
ーパスワード強化
ー共有設定の見直し
ー脅威や攻撃の手口を知る
●安全なウェブサイトの作り方
11個の実装すべきガイドラインがあるようですね。
1 SQLインジェクション
2 OSコマンド・インジェクション
3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
4 セッション管理の不備
5 クロスサイト・スクリプティング
6 CSRF(クロスサイト・リクエスト・フォージェリ)
7 HTTPヘッダ・インジェクション
8 メールヘッダ・インジェクション
9 クリックジャッキング
10 バッファオーバーフロー
11 アクセス制御や認可制御の欠落
■まとめ
プロに任せないと穴が絶対あるので自社でやるという判断する事はないと思いますが、個人的なソフトを作成する時や、何かセキュリティの素案を自分で作る機会があれば上記のIPAの考えを活用していくと、ある程度安全性を担保できるのではないかと考えました。
またもし、セキュリティ関連を確認する事があったら、このガイドラインに従っているか確認の基準にも使っていきたいと思います。