webサーバに関する安全性

■サーバのセキュリティ要件

 webサーバはAWS(Amazon Web Services)に設置しており、以下のセキュリティ要件を満たしています。

【基本構成】

・ファイアウォールを設置

・リバースプロキシを適用

・サーバは非武装セグメントに設置

・操作ログの記録と保管

・国内サーバを利用(AWS東京リージョン)

 

【通信】

・必要なサービスの通過のみ許可

・セキュアプロトコルを使用して通信経路上の情報を保護

・当社ネットワークからのみアクセス可

 

【OS】

・セキュリティパッチを必要に応じて適用

 

【webアプリケーション】

・セキュリティパッチを必要に応じて適用

・不要なサービスの停止やアプリケーションの削除を実施

 

【コンテンツ】

・動的コンテンツのプログラムは専用ディレクトリで一括管理

・プログラムは許可された文字列・文字数のみの入力を認める

・ID/パスワードによる本人認証を行う

・web上で入力するパスワードは非表示とする

 

■サーバの構築指針

【構築体制】

・構築担当者以外の物理的、論理的アクセスを禁止

・アクセスにはMFA認証*を使用

【アクセス権限の設定】

・ID付与者を構築担当者のみに限定

・IDには必要最低限のアクセス権のみ付与

【本番データ環境】

・個人情報、機密情報が含まれているデータをテストデータとして使用しない

 

*…AWS Mukti-Factor Authenticationによる認証形式。

 ハードウェアMFAデバイスによる一時トークンの利用により、パスワードへの依存度を提言するもの。