クラウドのセキュリティ対策について


サーバー構成

ロイロノート・スクールのサーバー群は、仮想プライベートクラウド上に構築されており、 http/httpsと管理用のsshでしかアクセスできないようにファイヤウォール設定がなされています。
管理用のsshは公開鍵認証でのみ使用できますので、パスワードを使ったブルートフォース攻撃に対する対策も行っております。



通信経路の暗号化

アプリからの通信やWebアプリは通信経路が暗号化されるhttpsのみ利用します。
中間者攻撃による通信内容の盗聴などへの対策も行っています。



パスワード管理のお願い

どんなにサーバーのセキリティ対策をおこなっても、パスワードが推測可能なものであったり短すぎたりすると第三者へのアクセスを許してしまいます。 パスワードは、6文字以上で学籍番号や推測可能な単語などでないもので設定してください。



Webアプリケーションの脆弱性に関して

IPA(情報処理推進機構)の発行している「ウェブアプリケーションのセキュリティ実装 チェックリスト」に従って、継続的な対策を行っています。

  • SQLインジェクション
  • OSコマンド・インジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • セッション管理の不備
  • クロスサイト・スクリプティング
  • CSRF(クロスサイト・リクエスト・フォージェリ)
  • HTTPヘッダ・インジェクション
  • メールヘッダ・インジェクション
  • アクセス制御や認可制御の欠落