本書は『Webセキュリティ&コマース』(1998年)の改訂版です(二分冊の下巻)。下巻では主にサーバ管理者やコンテンツ提供者向けに、サーバが侵入を受ける確率を減少させる方法、自社のデータとサイトへのアクセス者を保護するための暗号化手法、サーバに不正侵入を受けた際の復旧手順などを解説します。セキュアなCGI、PHPプログラムについても詳しく説明します。さまざまな決済システムの特徴や、デジタル証明書の発行方法など、Webを使った商活動に欠かせない内容も紹介し、自社の提供するサービスとユーザの安全について責任を持つすべてのWeb運営者にとって必読の一冊と言えるでしょう。
Webセキュリティ, プライバシー & コマース 第2版 (下)
―システム管理者・コンテンツ提供者編
Simson Garfinkel, Gene Spafford 著、株式会社クイープ 遠藤美代子 訳
- TOPICS
- Web , Security , System/Network
- 発行年月日
- 2002年12月
- PRINT LENGTH
- 456
- ISBN
- 4-87311-110-2
- 原書
- Web Security, Privacy & Commerce, 2nd Edition
- FORMAT
目次
III部 Webサーバセキュリティ 14章 サーバの物理的なセキュリティ 14.1 忘れ去られた脅威への対策 14.1.1 物理的なセキュリティのプラン 14.1.2 災害復帰対策 14.1.3 その他の不慮の事故 14.2 コンピュータハードウェアの保護 14.2.1 環境 14.2.2 事故の防止 14.2.3 物理的なアクセス 14.2.4 破壊行為 14.2.5 戦争やテロ行為に対する防御 14.2.6 盗難の防止 14.3 データの保護 14.3.1 盗聴 14.3.2 バックアップの保護 14.3.3 処分前のメディアのサニタイズ 14.3.4 印刷物のサニタイズ 14.3.5 ローカルストレージの保護 14.3.6 無人のターミナル 14.3.7 キースイッチ 14.4 人事 14.5 現場の視察 14.5.1 私たちの評価 14.5.2 失うものは何もないのか 15章 サーバのためのホストセキュリティ 15.1 現在のホストセキュリティの問題点 15.1.1 攻撃の種類 15.1.2 攻撃の頻度 15.1.3 敵を知る 15.1.4 攻撃者のねらい 15.1.5 攻撃者が使用するツール 15.2 ホストコンピュータの保護 15.2.1 ポリシーによるセキュリティ 15.2.2 バグや欠陥に詳しくなる 15.2.3 ベンダーの選択 15.2.4 導入1 システムの目録の作成 15.2.5 導入2 ソフトウェアとパッチのインストール 15.3 サービスの絞り込みによるリスクの緩和 15.4 安全な運用 15.4.1 新しい脆弱性を追う 15.4.2 ログ 15.4.3 バックアップ 15.4.4 セキュリティツール 15.5 セキュリティで保護されたリモートアクセスとコンテンツの更新 15.5.1 パスワードの傍受 15.5.2 暗号化による盗聴対策 15.5.3 コンテンツの安全な更新 15.5.4 ダイヤルアップモデム 15.6 ファイアウォールとWeb 15.6.1 ファイアウォールの種類 15.6.2 ファイアウォールによるLANの保護 15.6.3 ファイアウォールによるWebサーバの保護 15.7 まとめ 16章 Webアプリケーションの保護 16.1 拡張性と危険性 16.1.1 CGIにすべきではないプログラム 16.1.2 予想外の副作用 16.2 コーディング上の注意点 16.2.1 安全なスクリプトを書くための原則 16.3 フィールド、隠しフィールド、クッキーの安全な使用 16.3.1 フィールドの安全な使用 16.3.2 隠しフィールドと複合URL 16.3.3 クッキーの使用 16.3.4 暗号化による隠しフィールド、複合URL、クッキーの強化 16.4 プログラミング言語ごとの注意事項 16.4.1 Perlプログラミングでの注意事項 16.4.2 Cプログラミングでの注意事項 16.4.3 Unixシェルの注意事項 16.5 PHPの安全な使用 16.5.1 PHPの概要 16.5.2 PHPの制御 16.5.3 PHPのセキュリティ問題 16.5.4 PHPのインストールの問題 16.5.5 PHP変数 16.5.6 データベースの認証情報 16.5.7 URL fopen() 16.5.8 スクリプトの隠ぺい 16.5.9 PHPセーフモード 16.6 別の特権で実行するスクリプト 16.7 データベースへの接続 16.7.1 アカウント情報の保護 16.7.2 SQLのフィルタリングとクォーティング 16.7.3 データベース自体の保護 16.8 まとめ 17章 SSLサーバ証明書の導入 17.1 SSLサーバの計画 17.1.1 サーバの選択 17.1.2 秘密鍵の保存場所 17.1.3 サーバ証明書 17.2 FreeBSDを使用したSSLサーバの作成 17.2.1 歴史 17.2.2 プログラムの入手 17.2.3 Apacheとmod_sslのインストール 17.2.4 初期インストールの検証 17.2.5 独自の認証局による鍵の署名 17.2.6 ほかのサービスの保護 17.3 IISへのSSL証明書のインストール 17.4 民間の認証局からの証明書の入手 17.5 問題が発生したら 17.5.1 無効な証明書 17.5.2 証明書の更新 17.5.3 不正なサーバアドレス 18章 Webサービスのセキュリティ 18.1 冗長性による保護 18.1.1 価格と性能に対する冗長性 18.1.2 冗長性の提供 18.2 DNSの保護 18.3 ドメイン登録の保護 19章 コンピュータ犯罪 19.1 不正侵入への法的措置 19.1.1 刑事告訴 19.1.2 コンピュータ犯罪に関する連邦法 19.1.3 刑事告訴の危険性 19.1.4 犯罪を報告する義務 19.2 刑事事件の危険性 19.3 犯罪の対象 19.3.1 アクセス装置と著作権付きのソフトウェア 19.3.2 ポルノ、卑わい物、わいせつ物 19.3.3 著作物へのアクセス規制を逃れるデバイス 19.3.4 暗号プログラムと輸出規制 IV部 コンテンツプロバイダのセキュリティ 20章 Webコンテンツへのアクセスの制御 20.1 アクセスコントロールの考え方 20.1.1 秘密のURL 20.1.2 ホストベースのアクセスコントロール 20.1.3 ユーザベースのアクセスコントロール 20.2 Apacheを使用したアクセスコントロール 20.2.1 .htaccessファイルによるアクセスコントロール 20.2.2 Webサーバの構成ファイルによるアクセスコントロール 20.2.3 <Limit>...</Limit>の前に指定するコマンド 20.2.4 <Limit>...</Limit>ブロックで指定するコマンド 20.2.5 <Limit>のコード例 20.2.6 ユーザ名とパスワードを手動で設定する方法 20.2.7 高度なユーザ管理 20.3 IISを使用したアクセスコントロール 20.3.1 IISのインストール 20.3.2 IISのパッチのダウンロードとインストール 20.3.3 IIS Webページのアクセスコントロール 20.3.4 IISディレクトリのアクセスコントロール 21章 クライアント側のデジタル証明書 21.1 クライアント証明書 21.1.1 クライアント証明書はなぜ必要か 21.1.2 クライアント証明書をサポートするブラウザ 21.2 VeriSign社のデジタルIDセンター 21.2.1 VeriSign社のデジタルID 21.2.2 デジタルIDの検索 21.2.3 デジタルIDの取り消し 22章 コード署名とAuthenticode 22.1 コード署名はなぜ必要か 22.1.1 コード署名の役割 22.1.2 コード署名の現状 22.1.3 コード署名と暗号技術の法的規制 22.2 Authenticode 22.2.1 誓約 22.2.2 Authenticodeによる署名 22.3 ソフトウェアパブリッシャ証明書の取得 22.4 その他のコード署名方式 23章 ポルノ、フィルタリングソフトウェア、検閲技術 23.1 ポルノのフィルタリング 23.1.1 フィルタリングのアーキテクチャ 23.1.2 センサーウェアの問題点 23.2 PICS 23.2.1 PICSとは 23.2.2 PICSの用途 23.2.3 PICSと検閲 23.3 RSACi 23.4 まとめ 24章 プライバシーの保護、法律の制定、P3P 24.1 プライバシーの保護とプライバシーポリシー 24.1.1 公正な情報の原則 24.1.2 OECDガイドライン 24.1.3 その他の国内規制と国際規制 24.1.4 プライバシーの「自主規制」 24.2 児童オンラインプライバシー保護法 24.2.1 規制の予兆 24.2.2 CORPAの要件 24.3 P3P 24.3.1 P3PとPICS 24.3.2 Internet Explorer 6.0におけるP3Pのサポート 24.4 まとめ 25章 デジタル決済 25.1 チャルガプレート、ダイナースクラブ、クレジットカード 25.1.1 クレジットの簡単な歴史 25.1.2 アメリカの決済カード 25.1.3 銀行間のカード決済 25.1.4 リファンドとチャージバック 25.1.5 その他の認証方法 25.1.6 インターネットでのクレジットカードの使用 25.2 インターネットの決済システム 25.2.1 Virtual PIN 25.2.2 DigiCash 25.2.3 CyberCashとCyberCoin 25.2.4 SET 25.2.5 PayPal 25.2.6 Gatorウォレット 25.2.7 Microsoft Passport 25.2.8 その他の決済システム 25.3 クレジットカード決済システムの品定め 26章 知的財産権と違法行為 26.1 著作権 26.1.1 著作権の侵害 26.1.2 海賊版ソフトウェアとSPA 26.1.3 Warez 26.2 特許 26.3 商標 26.3.1 商標の取得 26.3.2 商標違反 26.3.3 ドメイン名と商標 26.4 違法行為 26.4.1 自由主義と名誉毀損 26.4.2 損害賠償責任 26.4.3 法人化による保護 V部 付録 付録A Vineyard.NETの教訓 A.1 Vineyard.NETの始まり A.2 計画と準備 A.3 IP接続 A.4 事業開始 A.4.1 電話会社との交渉 A.4.2 Vineyard.NETの法人化 A.4.3 初期の展開 A.4.4 会計ソフトウェア A.4.5 パブリシティとプライバシー A.5 現状 A.5.1 セキュリティ対策 A.5.2 電話の構成と請求書の問題 A.5.3 クレジットカードとACH A.5.4 監視ソフトウェア A.6 冗長性と無線通信 A.6.1 バックアップとの接続 A.6.2 バックアップサイトの設置 A.6.3 フェールオーバーからの回復 A.7 大きなキャッシュアウト A.8 まとめ 付録B SSL/TLSプロトコル B.1 歴史 B.2 TLSレコード層 B.3 SSL/TLSプロトコル B.3.1 Handshakeプロトコル B.3.2 Alertプロトコル B.3.3 ChangeCipherSpecプロトコル B.4 SSL 3.0/TLSハンドシェイク B.4.1 ハンドシェイクの手順 付録C P3P C.1 P3Pの仕組み C.2 P3Pの導入 C.2.1 プライバシーポリシーの作成 C.2.2 P3Pポリシーとポリシー参照ファイルの作成 C.2.3 ポリシー参照ファイルの検索 C.2.4 コンパクトポリシー C.3 P3P対応のWebサイトの簡単な例 付録D PICS仕様 D.1 格付けサービス D.2 PICSラベル D.2.1 ドキュメントのラベル付け D.2.2 HTTP経由でのPICSラベルのリクエスト D.2.3 格付けサービスへのPICSラベルのリクエスト 付録E 参考文献 E.1 オンラインリファレンス E.1.1 メーリングリスト E.1.2 Usenetニュースグループ E.1.3 WebページとFTPレポジトリ E.1.4 ソフトウェアリソース E.2 印刷形式のリファレンス E.2.1 コンピュータ犯罪と法律 E.2.2 コンピュータ関連のリスク E.2.3 コンピュータウイルスとプログラム化された脅威 E.2.4 暗号 E.2.5 コンピュータセキュリティ全般 E.2.6 システム管理、ネットワークテクノロジ、セキュリティ E.2.7 セキュリティ製品とサービスに関する情報 E.2.8 その他の参考資料 索引