情報セキュリティ講座(91) Web
Webは、様々なアプリケーションで使用されます。URLさえわかれば、誰でもアクセスできるため、閲覧、ログイン、情報のやりとりなどの際に多くの対策が必要です。
1. WAF
WAFについては、以前説明しました。外部のWebサービスにアクセスする際に、不適切なサイトにはアクセスできなくなります。いわば、出口対策ともいうべきものです。
2. cookie
HTMLにおいて設定できる、cookieに関する属性がいくつかあります。これらの設定をすることにより、PCからサーバへの通信をよりセキュアにすることができます。
secure属性:cookieを送る際に、https以外のサイトには拒否するというものです。
httponly属性:HTMLテキスト内のスクリプトからアクセスすることを禁じます。
domain属性:cookieが送信される相手先のドメインを指定することができます。
3. HTTP認証
Webサイトにアクセスする際に、ユーザ認証を行います。ベーシック認証とダイジェスト認証の2種類があり、ベーシック認証はIDとパスワード、ダイジェスト認証はIDとパスワードをハッシュ化して認証します。
Webは外部にさらされるため、特に情報セキュリティ上での配慮が必要です。サイバー攻撃とセキュリティ対策は、いたちごっこではありますが、まずは基本的な対策をしっかり行うことが、大切と思います。