【厳選】Webサービスのセキュリティを強化する上で参考になるページ

最近、個人的にセキュリティ分野に対しての興味がとても高まっております。2024年6月に発生し、なお問題として継続をしているドワンゴのランサムウェアによる一連の被害も合まって、世間の皆様のセキュリティに対する投資も今後一層理解が深まっていくものと思われます。

本記事では、ここを見るとWebサービスのセキュリティ対策が推進できるというURL集を私観を交えながら、かつ不要と思われるものはしっかりと削って整理していきたいと思います。

もしツッコミなどございましたらぜひ弊社までご指摘いただければと思います。よろしくお願いいたします。

Webサービス構築にあたり、個人的にも、読者の皆様にも役にたつ「セキュリティの物差し」となる URL集を提供する。

しかも、見つけ次第五月雨の形式で追加していく。

IPA (情報処理推進機構) によるもの

もともと IPAはセキュリティ関連の活動を行う団体だったこともあり、無料かつ適切かつ豊富な情報提供がなされています。

わたしは悩んだ時はまずIPAで探すことが多いです。

具体的なセキュリティ強度を高める技術というよりも、総体的・概念的にセキュリティ強度を高める方法が列挙されています。特に初学者などにお勧めできる資料だと思います。これを読んでおけば、「危険」を感じる設計・実装を行う前にエンジニアの立場から意見を言うことができるようになるかなと思います。

セキュリティ業界は情報のアップデートがとても早いので、こうした実例を年に一度でもよいので、把握しておくことは重要なことかなと思いました。

個人的には「xx年ぶりxx度目」みたいな表現が紅白歌合戦や甲子園みたいだな と思いましたが、これは余計ですね、、w

システム利用者 (非IT技術者) の環境を整備するための資料となりますが、情シスを任されたエンジニアさんは取り敢えず読んでおく必要があると思います。 (下記の「ガイドライン」と同じページからのアクセスとなるため、PDFへの直リンクで悪しからず。)

上記の「手引き」の詳しい版・教科書に近いボリュームの資料となります。こっちの方は 何か迷ったことがあった時に逆引きで使うこともできる でしょう。

経営者の観点で情報セキュリティを考えるための材料も資料の中で提示されています。（情セキ施策はトップダウンで行う必要があるので当然）

IPA所轄団体の経済産業省による整理・ページとなりますがあらかじめご承知おきください。後述の総務省によるガイドラインと内容としては近く、かつ実践例が多数掲載されているので一読する価値はあると思います。

対象読者としてはCISOやCTOなど、技術部門やセキュリティ部門のTOPという印象です。（ビジネスも踏まえて計画立案を行う必要がある人向け）

特に、付随する資料の下記がとてもいいと思いました。（こっちはIPAへのリンク）

大元のガイドラインが抽象的な事例としてまとめられているのに対して、こちらは具体的な発生事例をイメージしてまとめられていまして、IT関連団体の面目躍如というところかなと思いました。

IPAが提供しているものに比べて体裁がそっけなく見にくいです。（総務省の方申し訳ございません、、！）【ベストプラクティス】という項目があり、これが個人的にはとてもいいと思いました。

中小企業だと完璧な施策を全部打てないんですよね。まずはできることからやるという情報セキュリティの鉄則に沿ったまとめ方で素晴らしいと感じました。

基本的にお勧めできる資料ですね！

基本的にセキュリティ対策は、終わりがない。運用を続ける、PDCAを回して改善し続けることが重要なので今後も学習を続けていこうと思いました。

個人的には、同じ規模や同じ業界で情報交換をできる機会が少ない分野なので、
そうしたニーズを叶えてくれる場がもっとあればいいのに...とは最近思っている、本ブログ編集担当のyuku_tasです。

もしご意見がございましたら、弊社問い合わせからでも、Twitterからでもお声をいただけますと嬉しいです。

最後までお読みいただきありがとうございました！
引き続き当ブログをよろしくお願いいたします。