IPAがWebサイトの開発者・運営者が考慮するべき脆弱性を取り上げて解説した文書を公開している。例によって無償でダウンロードできる。開発者や運営者対象ということだが、むしろ特別のことでなく、今では普通のユーザに対してもセキュリティの啓蒙のために必要な内容といえるかもしれない。

IPA,「安全なウェブサイトの作り方 改訂第4版」(SourceForge.JP)
「安全なウェブサイトの作り方　改訂第4版」を公開(IPA 1.20)

　脆弱性の事例は、実際にIPAに届け出のあった情報を基に作成したものになっているという。その意味では単なるセキュリティのお題目だけでなく、ごく最近の傾向と対策を知るものとなるだろう。最近はガンブラー被害といい、身近な大手サイトも感染していることもあったから、Web開発者だけの問題でもなくなっている。

　ブログその他を始めとして、一般ユーザでも自身のWebページをもち、更新するのも容易になった。それだけにWebサイトが感染するようなケースはその仕組みを知っておくべきだろう。まして、Opera UniteのようにユーザのWebサーバー運営の敷居を低くするサービスまで登場しているから、ますます危険性は増しているといえるだろう。

　言うまでもなく、ネットの利用にWebの利用、ブラウザの知識、Webアプリケーションおよび周辺の知識も必須になっている。インターネット接続するのに最低限IPアドレスやルータの知識が必要であるように、Webの利用に関しては最低限WebサーバーやWebのセキュリティの知識も必要な時代となっている。以前のように、ただWebページが見ることができた、アップロードできた、という長閑なWebサーフィンの時代でもない。スクリプトを含むインタラクティブなページのアクセスではなおさらである。といって無条件でJavaScriptなどをオフにしておけばよいというわけでもない。

　Webが高度化、複雑化していることは確かだが、Web2.0以来、よりユーザ主導型のWebページ(CGM)が主流になっている状況では、セキュリティの重要性を理解するには、少しでも制作する側に立ってみるのが一番である。その意味では、このセキュリティの啓蒙文書は開発者というより、にわかにWebページを作成、運営することもある一般ユーザ向けであろう。これまでのユーザ向けの啓蒙書のようなただの「べからず」集ではなく、具体的にWebのどの技術に関連した危険性があるかを知ることができるだろう。その中で理解できないような技術的内容については、その程度を知らなければ安全にWebサイトを運営できないことを知ることにもなる。この文書を出発点にして、むしろ現在のWebの状況を理解していくというのもよいかもしれない。