Webサーバ運営の際の注意点

管理の基本事項

  • 管理責任者をはっきりさせること
    研究室で運用するサーバ(自前、電算室のホスティング、外部利用の場合も)の管理者を はっきりさせ、以下心得ること。
    • Webページに連絡先(メールアドレス)を入れる。連絡はきちんと読む。 (トラブルを連絡してくれる場合がある。)
    • 随時リンクをたどって、表示が適切かチェックし、必要に応じ変更する。
    • 卒業/修了/人事異動等で管理者が生研を離れる場合、引き継ぎを行い、連絡先表示に反映させる。
  • 構成を複数で理解する。
    複数の目は重要。メインの管理者が不在の場合でも、管理できるように。 相談しながら管理するとなおよい。

Webサーバ運用上の注意点

  • 公開フォルダとファイルの注意
    サーバがApacheで稼働している場合、httpd.conf 内のOptions Indexes で始まる行で、 -Indexes のようにオプションを外す。
    これができていないと、フォルダ内のファイルの一覧表示がされてしまうことがある。 index.* (index.html, index.cgi など)は、空ファイルでも作成しておくと、防止できる。
  • 公開の制限
    .htaccess ファイルをフォルダに置いて、公開範囲やセキュリティの設定、CGI利用制限などができる。公開が制限されない状態では、すべてがGoogle等の検索サイトに載るものと考えて、余計なファイルは置かないようにすること。
  • 情報入力と保存時の注意点
    講演会申し込みページなど、入力を求める場合も多い。個人情報も入る可能性があるので、十分注意が必要である。
    • 入力されたデータの保存先は、Web公開フォルダ外にすること。
    • 入力データそれぞれに、数字/文字判断、文字数などのチェックを入れる。データベースと連携する場合は、SQLインジェクション攻撃対策を行なうこと(IPAの「SQLインジェクション対策について」参照)。
    • 入力事項は、必要最小限にとどめること。
    • 入力確認画面をつけること。
    • 申し込み期限後、ただちに申し込みページなどを利用できないよう変更する。
    • 特に個人情報である場合は、適切なデータ保持期間を定め、不要になり次第データの破棄を行うこと。
  • スケジュールなど
    行事等の終了後には、そのお知らせを削除・移動(たとえば過去の行事欄に)すること。(いつまでも「現在の情報」として表示していると、管理が悪いことを表明しているようなものである。)

セキュリティ関係

  • アップデート
    サーバとなる機器のOSアップデート、サーバソフトウェアのアップデートをきちんと行うこと。管理者の交代でおろそかになることが多い(電算室のホスティングに移行することも検討してほしい)。とくに WordpressなどのCMSを利用する場合は、CMSのセキュリティアップデートを怠らないこと。
  • ログ参照
    ログ取得をしておく。また随時ログを参照し、アクセス傾向に注意すること。 特定ファイルにアクセスが集中している場合、アクセス先ファイル等をチェックし、原因をつきとめること。
  • 特に掲示板など書き込みができるページを用意している場合、セキュリティが甘いと、ファイル交換サイトとして悪用されてしまう。
  • 最低3ヶ月のログ保存を推奨している。
  • ホスティングサービスでは、基本的なログ取得が設定されている。 ログチェックはサービスを利用している研究室等が行うこと。
  • SSL使用
    SSLを利用すると、通信が暗号化されるため、盗聴の可能性を低くできる。
    サーバのなりすましを防止し、利用区間での暗号化がされていることの確認が可能になる。この確認のため、公的な認証局が発行したSSL証明書が必要になる。
    さまざまな業者から安価で購入できるが、電算室経由でも取得可能である(情報基盤センターで扱っている証明書の取得窓口になっている)。
    ホスティングサービス利用の場合のSSL利用については、研究室WWWサーバホスティングサービスを参照のこと。
Counter: 9530, today: 1, yesterday: 0

Last-modified: 2016/04/01 (金) 11:35:14 (1204d)