Webサーバの運用管理に関する注意喚起

学生 教員 職員

立命館CSIRTより情報セキュリティに関する注意喚起です。

対象者

Webサーバを運用管理する情報システム設置者および情報システム運用管理者

注意喚起内容

文部科学省よりWebサーバの運用管理に関する注意喚起がありました。

CMS(コンテンツ管理システム)に関するセキュリティ事案が国内で多発しています。
十分な対策を実施しなかった場合、 不当に入手したアカウント情報や脆弱性を用いて、コンテンツの改ざん、迷惑メールの送信などの情報セキュリティ事故につながるおそれがあります。
ついては下記を参照のうえ、 ウェブサーバおよびCMSの運用における対策の強化をお願いします。

情報セキュリティ事故の主な原因


  • ・脆弱なパスワードの利用
  • ・ソフトウェア更新の不備
  • ・脆弱性対応の不備(特に、XML RPC APIの悪用)
  • ・不要なサービスやアカウントの停止又は削除の未実施

対策


  • ・WordPress、Movable Type(PowerCMS含む)において、不要な場合はXML RPC APIを停止する。
  • ・十分な強度を持ったパスワード及び二要素認証を利用する
  • ・OSやミドルウェア(Apache HTTPサーバ等)、CMS(プラグインを含む)については常に最新(プラグインを含む)については常に最新のものとし、修正パッチがリリースされた場合には速やかに適用する(自動アップデート推奨)
  • ・CMSの運用業務を外部委託している場合は、アップデート方針について改めて確認する
  • ・CMS運用業務の外部委託仕様書に、セキュリティパッチの適用に関して、速やかな適用が可能となるよう、方針について記載する
  • ・CMSの不要なプラグインは削除する(無効化しても悪用される場合があるため削除推奨)
  • ・CMSの管理画面へのアクセスを接続元IPアドレス等により制限する
  • ・不要なサービスや不要な機能を停止する
  • ・不要なアカウントを削除する
  • ・アカウントのログイン履歴の監査を定期的に行う
  • ・アクセスログの取得及び定期的な確認を実施する

参考




なお、本法人では情報システム運用管理者向けのガイドラインを整備しています。
ガイドライン参照のうえ情報システムの適切な運用管理をお願いします。

規程・ガイドライン
  • ・立命館情報システム運用管理ガイドライン

  • ・立命館クラウドサービス利用ガイドライン

  • ・立命館情報セキュリティ事故対応ガイドライン

立命館のITサービス(情報環境)利用前に、必須事項(社会・大学のルールを守ることや情報セキュリティ対策の実践)をまとめた「GetStarted / はじめに」を必ず確認してください
今すぐ読む 後で読む
×