| サーバソフトをインストールする際には、以下の点に注意が必要です。 |
| ☆ サーバソフトのバージョンアップはしましたか? |
| ☆ Webやメールといった提供サービス以外のサービス動作の停止、ホ°ート閉鎖しましたか? |
| ☆ | 標準インストール(デフォルト)状態では管理者が意図しない設定となっている場合があります。サーバの運用方針に沿ってサービスディレクトリ単位での細かな設定の見直しが必要です。 |
| 例: | 古いバージョンのWEBサーバソフトのデフォルトインストールでは、アクセス管理者以外の者にフルコントロール(閲覧のほか、ファイルの書換、実行などの権限を与えている)となっていることがあります | |
※ ・ ・ | インストール時のその他具体的注意点 ※ 利用を想定していないアカウントは削除する 公開用フォルダのみ一般閲覧者に「閲覧のみ可」(Brows)とする 他の非公開ファイルは、公開用とは別のフォルダに移すとともに「アクセス管理者」(Administrator)のみに対しフルコントロールとする ~ 管理者でもリモートではアクセス不可とする ~ |
| (例:WindowsではNTFSセキュリティ設定)をしましょう! |
| ○ | 上記は一例で、動作環境、ソフトウエア及び各アクセス管理者がどのような利用者を対象にどのようなサービスを提供するかなどの考え方によって異なります。 |
| また、具体的な設定については、各ソフトウエア毎に異なりますので、ソフトウェアベンダーのサイト等でご確認下さい。 |
| (参考リンクの一例) | ||
| ・ マイクロソフト (TechNet) | http://www.microsoft.com/japan/technet/default.asp | |
| http://support.microsoft.com/default.aspx?scid=kb;ja;299970 (NTFSセキュリティを使用してIISでWebサーバを保護) | ||
| ・ リナックス | http://www.linux.or.jp/security/firststep.htm | |
| ・ IPA | http://www.ipa.go.jp/security/awareness/administrator/administrator.html | |
| (「システム設定・運用」の各項) |
| OSやネットワークサービスに係る各種ソフトウエアには、次々と不正アクセスに対する弱点(脆弱性)が見つかっています。利用している各サーバソフトのベンダーから発表される情報を定期的に入手して、ソフトウェアを最新のものにバージョンアップしましょう(セキュリティパッチを含む)。 セキュリティパッチのリリースをチェックし最新のパッチを当てましたか? | |
| いくらアクセスを制限していても、IDや管理用パスワードが簡単に推測されてしまうものでは意味がありません。パスワードの設定に当たっては、例えば、次のようなものは避けましょう。 | ||
 | IDと同じもの又はIDの一部を引用したもの | |
 | 誕生日、電話番号、その他、自分に関係のある情報又はその組み合わせから容易に推測できるもの | |
