これらの情報は一例です。
これらの情報を参考に、Webサーバーの運用が必要かと思われます。
・XSS対策:javascript等のスクリプトタグが埋め込まれたアクセス検知
・SQL対策:SQL構文に該当する文字列が挿入されたアクセス検知
・ファイル対策:.htpasswd .htaccess httpd.conf等のサーバーに関連する設定アクセス検知
・メール対策:to cc bcc等のメールヘッダーに関係する文字列を含んだアクセス検知
・コマンド対策:kill、ftp、mail、ping、is 等のコマンド文字列が含まれたアクセス検知
・PHP対策:session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数が含まれたアクセス検知
・その他、脆弱性診断等
※これらの検知を社内IT事業部により随時チェックし用途に応じた対応をする。
・HPデータとDatabase領域は異なる場所で管理されており、Databaseへの接続はHP経由またはWeb管理画面からでないと接続できない。
・SSLによる暗号通信以外は、HPの閲覧ができないように設定
・ログインユーザ別管理
・アクセスログの取得
・ダウンロードは、ダウンロード領域を都度作成しその中に.htaccessで他ユーザがダウンロードできないように制限
・社内宛にメールされる内容は、迷惑フィルタとIT事業部の監視により監視
・フォームに関しては、プログラムがセットされても無効化するように設定
・閲覧中のページのURLを第3者に送信しても、第3者はログインしない限り閲覧不可に設定
・アクセス解析ツールによるログ解析
・自社開発によるアクセスログの解析
※これらのアクセスログを日々監視し、不審な点があれば、相応の対策を行う体制が必要。
・管理画面接続:アカウントIDとパスワードによる認証で管理パネルへ接続
・FTP接続:社外通信用のIPアドレスに接続を限定
・FTPデータ転送:すべての情報は暗号キーを使い暗号化した文字列に置き換えて転送
・Webデータ相互:.htaccessによる接続制限、SSL、暗号文字列でデータのダウンロード