やれ、セキュリティセキュリティな世の中ですが、WEB開発においては具体的に何をすればよいのか?
大きく分けると
・WEBアプリケーションのセキュリティ対応
・インフラ(サーバ)のセキュリティ対応
・運用のセキュリティ対応
という3つに分かれるんじゃあないかなと思ってる。
大きく分けると
・WEBアプリケーションのセキュリティ対応
・インフラ(サーバ)のセキュリティ対応
・運用のセキュリティ対応
という3つに分かれるんじゃあないかなと思ってる。
・WEBアプリケーションのセキュリティ対応
は、SQLインジェクション対応とかそういうの。
・インフラ(サーバ)セキュリティ対応
は、ポートがどうこうとかファイアウォールがどうこうとかそういうの。
・運用のセキュリティ対応
は、管理PCを触れる人を限定するとか、人的なミスや悪意によってサービスやユーザーに影響を与えないようにする工夫的なもの。
で、インフラ(サーバ)セキュリティ対応において、対応すべき点を洗い出してくれるのが、nessusというツール。
前提として、LinuxサーバをWindowsクライアントからチェックするって場合は、インストール方法はここがわかりやすい。
ようは、チェックしたいサーバにServerをインストールして、チェックするクライアントにClientをインストールするっていう感じ。
見事インストールに成功してチェックすると、High、Medium、Lowにレベルわけしてくれて、しかもソリューション付きで一覧化してくれる。
一概には言えないけど、Medium以上に対応しておけば公開サーバのセキュリティレベルとしては(僕の経験上)優れているほうだと思います。
コメントする