Webサーバ運営の際の注意点†
管理の基本事項†
- 管理責任者をはっきりさせること
研究室で運用するサーバ(自前、電算室のホスティング、外部利用の場合も)の管理者を
はっきりさせ、以下心得ること。
- Webページに連絡先(メールアドレス)を入れる。連絡はきちんと読む。
(トラブルを連絡してくれる場合がある。)
- 随時リンクをたどって、表示が適切かチェックし、必要に応じ変更する。
- 卒業/修了/人事異動等で管理者が生研を離れる場合、引き継ぎを行い、連絡先表示に反映させる。
- 構成を複数で理解する。
複数の目は重要。メインの管理者が不在の場合でも、管理できるように。
相談しながら管理するとなおよい。
Webサーバ運用上の注意点†
- 公開フォルダとファイルの注意
サーバがApacheで稼働している場合、httpd.conf 内のOptions Indexes で始まる行で、 -Indexes のようにオプションを外す。
これができていないと、フォルダ内のファイルの一覧表示がされてしまうことがある。
index.* (index.html, index.cgi など)は、空ファイルでも作成しておくと、防止できる。
- 公開の制限
.htaccess ファイルをフォルダに置いて、公開範囲やセキュリティの設定、CGI利用制限などができる。公開が制限されない状態では、すべてがGoogle等の検索サイトに載るものと考えて、余計なファイルは置かないようにすること。
- 情報入力と保存時の注意点
講演会申し込みページなど、入力を求める場合も多い。個人情報も入る可能性があるので、十分注意が必要である。
- 入力されたデータの保存先は、Web公開フォルダ外にすること。
- 入力データそれぞれに、数字/文字判断、文字数などのチェックを入れる。データベースと連携する場合は、SQLインジェクション攻撃対策を行なうこと(IPAの「SQLインジェクション対策について」参照)。
- 入力事項は、必要最小限にとどめること。
- 入力確認画面をつけること。
- 申し込み期限後、ただちに申し込みページなどを利用できないよう変更する。
- 特に個人情報である場合は、適切なデータ保持期間を定め、不要になり次第データの破棄を行うこと。
- スケジュールなど
行事等の終了後には、そのお知らせを削除・移動(たとえば過去の行事欄に)すること。(いつまでも「現在の情報」として表示していると、管理が悪いことを表明しているようなものである。)
セキュリティ関係†
- アップデート
サーバとなる機器のOSアップデート、サーバソフトウェアのアップデートをきちんと行うこと。管理者の交代でおろそかになることが多い(電算室のホスティングに移行することも検討してほしい)。とくに WordpressなどのCMSを利用する場合は、CMSのセキュリティアップデートを怠らないこと。
- ログ参照
ログ取得をしておく。また随時ログを参照し、アクセス傾向に注意すること。
特定ファイルにアクセスが集中している場合、アクセス先ファイル等をチェックし、原因をつきとめること。
- 特に掲示板など書き込みができるページを用意している場合、セキュリティが甘いと、ファイル交換サイトとして悪用されてしまう。
- 最低3ヶ月のログ保存を推奨している。
- ホスティングサービスでは、基本的なログ取得が設定されている。
ログチェックはサービスを利用している研究室等が行うこと。
- SSL使用
SSLを利用すると、通信が暗号化されるため、盗聴の可能性を低くできる。
サーバのなりすましを防止し、利用区間での暗号化がされていることの確認が可能になる。この確認のため、公的な認証局が発行したSSL証明書が必要になる。
さまざまな業者から安価で購入できるが、電算室経由でも取得可能である(情報基盤センターで扱っている証明書の取得窓口になっている)。
ホスティングサービス利用の場合のSSL利用については、研究室WWWサーバホスティングサービスを参照のこと。
Counter: 1159,
today: 4,
yesterday: 1