本動画では、平成23年特別 午後Ⅰ問題4を題材に、インターネットに公開するWebシステムのセキュリティ対策について学習します。主なキーワードとして、セッション情報の破棄による適切なセッション管理、他サイトで盗まれた認証情報を悪用するログイン試行の検知と遮断、SSHの公開鍵認証方式を用いた安全なファイル転送、FWのドロップログ分析、そして内部不正を防ぐためのアクセス権限管理を取り上げます。 セッション管理では、ログアウト時にセッション情報を確実に破棄することが重要です。また、他のサイトで漏えいした認証情報を用いた不正なログイン試行に対しては、同一IPアドレスから複数の会員IDで一定回数以上認証に失敗した場合に遮断する仕組みが有効です。さらに、外部からのファイル転送には公開鍵認証方式を利用し、内部不正を防ぐためにスクリプトファイルへのアクセス権限を適切に見直す必要があります。
