あらすじ
【あなたの会社、ネットの脅威から守れていますか?】
近年の企業活動において、もはやWebは欠くことのできない媒体となっています。とはいえ残念ながら、インターネットにはさまざまな脅威が存在するのも確かです。Webサイトのコンテンツが悪意のある者によって改ざんされたり、さらには会員の個人情報が流失したりすれば、公開を止めざるを得なくなり、企業の存続すら脅かされかねません。Webサイトのセキュリティの確保は、企業運営の命綱ともなりうるほど重要性を増してきています。
本書ではこのような重責を担うWeb担当者のために、Webサイトの企画から要件定義・制作・運用まで、各フェーズで知っておかなくてはならないセキュリティとリスクマネジメントの鉄則をまとめました。企画段階でのコンテンツ選定における注意点から、制作時のチェックポイント、万一の事態に備えた社内の体制づくり、事後対応のプロセス、さらにはSNSの炎上防止施策までフォローしています。また、ワークフローに沿って情報をまとめているため、現在の自身の状況に応じてやるべきことを理解できます。
何かが起こったあとでは手遅れになる可能性もあります。ぜひ本書をお共に、安全第一のWeb運営を心がけてください。
〈こんなWeb担当者・広報担当者におすすめです〉
・周囲にセキュリティの専門家がいない方
・顧客情報を抱えるWebサービスを展開している方
・リスクマネジメントの方法を模索している方
・実装の細かい技術ではなく、対策の大枠の仕組みを知りたい方
〈本書の内容〉
CHAPTER1 Webサイトのセキュリティ・リスクマネジメントの基礎知識
CHAPTER2 Webサイトの企画時に気をつけるべきこと
CHAPTER3 要件定義時に気をつけるべきこと
CHAPTER4 制作・チェック時に気をつけるべきこと
CHAPTER5 運用時に気をつけるべきこと
CHAPTER6 どうしても残ってしまうその他のリスク
CHAPTER7 事後対応で気をつけなければならないこと
CHAPTER8 SNS運用で気をつけなければならないこと
感情タグBEST3
Posted by ブクログ
Web関連のセキュリティのみをまとめた本は、そのほとんどが技術者向けの実践マニュアルだったけど、この本は少し趣向が異なる。
セキュリティインシデントが起こる背景や、必ずしも技術的によらないインシデントの記述もあり、概要がつかめる著となっている。
WEBディレクターや自社のWEBを運営・管理する立場の人なら、一度読み込んでおいたほうが良い。
Posted by ブクログ
Webセキュリティの入門書。冒頭の「実際に世間を騒がせた事件や事故の多くは、たとえば最新かつ最高難度の攻撃技術を100とすれば、せいぜい30点から50点程度の脆弱性を利用した攻撃」という言葉が全て。トップレベルの専門家にはなれなくても、基本に忠実に穴を塞ぐ現場の人間にはなれる。
Posted by ブクログ
なかなか一度では覚えきれないが、勉強にはなった。
たとえば「セッションIDが取得される」、「セッションIDが攻撃者によって固定化される」などの攻撃には、以下のような対策が考えられます。
①セッションIDをクッキーのみで扱うように設定する。
②重要な処理を行う前にユーザーに再度パスワードを入力させる。
③ログイン時に乱数文字列をトークンとして発行してクッキー(Webブラウザ)とセッションファイル(Webサーバー)の双方に保存しておき、認証確認する際にそれらトークンの値が同一かどうか比較する。
④ログイン時の認証が成功した段階で古いセッション情報を破棄してセッションIDを再発行する。
知っておくべき法律
・個人情報保護法
・特定電子メール法
・プロバイダ責任制限法
・不正アクセス禁止法
・不正指令電磁的記録に関する罪
・消費者契約法
代表的な利用規約項目の例
1.会員と入会の定義
2.料金・ポイント等の定義
3.禁止事項
4.免責事項
5.退会について
6.よくある質問と回答
7.個人情報保護方針
JNSAセキュリティシステム開発ガイドライン
クリックジャッキング対策
重要な処理はマウス操作のみで実行できないように、キーボードでの入力操作などを必ず挟む
クレームをつける理由
Twitterでサービスや商品に関するクレームをつける人にその理由を尋ねた調査によると、79%は「友達に見てもらえるから」で、「(そのサービス・商品の提供元の)会社に見てほしいから」と答えた人は52%、「会社に対応してもらいたいから」と答えた人は36%という結果だったそうです。つまり、多くの人は不満の解決のために投稿を行っているのではないのです。
Posted by ブクログ
なかなか一度では覚えきれないが、勉強にはなった。
たとえば「セッションIDが取得される」、「セッションIDが攻撃者によって固定化される」などの攻撃には、以下のような対策が考えられます。
?セッションIDをクッキーのみで扱うように設定する。
?重要な処理を行う前にユーザーに再度パスワードを入力させる。
?ログイン時に乱数文字列をトークンとして発行してクッキー(Webブラウザ)とセッションファイル(Webサーバー)の双方に保存しておき、認証確認する際にそれらトークンの値が同一かどうか比較する。
?ログイン時の認証が成功した段階で古いセッション情報を破棄してセッションIDを再発行する。
知っておくべき法律
・個人情報保護法
・特定電子メール法
・プロバイダ責任制限法
・不正アクセス禁止法
・不正指令電磁的記録に関する罪
・消費者契約法
代表的な利用規約項目の例
1.会員と入会の定義
2.料金・ポイント等の定義
3.禁止事項
4.免責事項
5.退会について
6.よくある質問と回答
7.個人情報保護方針
JNSAセキュリティシステム開発ガイドライン
クリックジャッキング対策
重要な処理はマウス操作のみで実行できないように、キーボードでの入力操作などを必ず挟む
クレームをつける理由
Twitterでサービスや商品に関するクレームをつける人にその理由を尋ねた調査によると、79%は「友達に見てもらえるから」で、「(そのサービス・商品の提供元の)会社に見てほしいから」と答えた人は52%、「会社に対応してもらいたいから」と答えた人は36%という結果だったそうです。つまり、多くの人は不満の解決のために投稿を行っているのではないのです。
