シングルサインオン製品導入GUIDE » ID管理・クラウドのセキュリティ対策コラム » クロスサイトスクリプティングのリスクと対策

クロスサイトスクリプティングのリスクと対策

公開日: |更新日:

クロスサイトスクリプティングは、Webアプリケーションに対するサイバー攻撃のひとつです。本記事では、クロスサイトスクリプティングがもたらすリスクや、攻撃への対策について解説します。

クロスサイトスクリプティングのリスク

情報漏洩やウィルス感染の可能性がある

Webサイトの脆弱性を狙い、悪意のあるスクリプトをWebアプリケーションに仕掛けるクロスサイトスクリプティング。仕掛けられたWebサイトにユーザーがアクセスしてしまうと、スクリプトが実行されて悪意あるWebサイトへ強制的に誘導されてしまうのです。そのWebサイトに設置されているフォームに個人情報を入力してしまった場合、その情報が盗まれてしまいます。また、マルウェアに感染する危険性もあります。

cookie情報を盗まれてしまう

cookieは、Webサイトにアクセスした際に付与されるテキストファイルのことです。IDやパスワードのほか、オンラインショップでカートに入れた商品やブラウザに行った設定情報、閲覧履歴などの情報がブラウザに保存されます。cookieは都度同じ情報を入力する必要がない点がメリットです。しかし、クロスサイトスクリプティングによって悪意のある第三者にcookieで保存した情報を盗まれてしまうと、個人情報の漏洩やユーザーの利用しているネットバンキングに不正アクセスされるなどのリスクがあります。

クロスサイトスクリプティングの対策

サニタイジングを導入する

サニタイジングとは、個人情報を入力する必要があるWebアプリケーションにおいて、入力内容をチェックして有害な文字などを検知し、無害化できる技術です。サニタイジングには複数の処理方法があり、広く用いられているものに「エスケープ処理」があります。エスケープ処理では、Webページを作成する際に使用される「HTML」において、特別な意味をもつ文字列を、意味を持たない文字列に置き換える処理方法です。エスケープ処理を行うことで、悪意あるスクリプトを実行できなくなります。

入力値の制限

Webサイトにアクセスするユーザーが文字入力することを前提としている場合、その入力値にサーバー側で制限をかけることで、不正なスクリプトの挿入を防げる可能性があります。この入力値の制限を「バリデーション処理」といいます。

「Webアプリケーション脆弱性診断」を行う

Webアプリケーション脆弱性診断は、開発時の設計ミスがないか、サーバーの設定にミスがないか、クロスサイトスクリプティングを仕掛けられる可能性がないかなどを診断します。専門のベンダーに依頼をして診断を行い、脆弱性が発見された場合は対策方法を提案し、対応することでクロスサイトスクリプティングの挿入を防ぐことが可能です。

クロスサイトスクリプティングについて知っておこう!

クロスサイトスクリプティングへの理解を深め、被害の可能性を事前に潰すことで、安全にWebサイトを運営できます。

以下のホームページでは、ID管理やセキュリティ対策に関するさまざまな情報を発信しています。Webサイトやクラウドサービスのセキュリティについて情報を得たいと考えている人は、ぜひ参考にしてください。

ID管理・クラウドのセキュリティ対策コラム

Four Selections

無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較

2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。

※横スクロールします。

オンプレミス

AccessMatrix
USO

AccessMatrixUSO
クラウド

Okta

Okta
クラウド

トラスト・ログイン

トラスト・ログイン
対応アプリ・
サービス
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
導入・
サポート
  • SEによるSSOの環境を構築!初期費⽤無料!
  • SSO対象アプリの対応可否チェック
  • 日本語でのサポート体制
  • 初回トレーニングサポート付
  • アドレス登録で無料トライアル可能
  • 2020年9月日本法人設立、サポート体制を強化
  • マクニカネットワークス株式会社の場合、ユーザー専用のサポート閲覧サービスあり
  • オプションを除いた機能を無料でお試し可能
  • 全プラン(基本・プロ)にオペレーターサポート付き
  • 日本語でのサポート体制
料金
380円/ユーザー/月額
要問合せ
一般的な利用例は、月額2ドル~
330円/ID/月額

※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。

・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業

・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1

参照元:https://www.okta.com/jp/products/single-sign-on/

・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業