週刊：Web担当者フォーラム通信

インプレスビジネスメディアが提供する情報コミュニティサイト「Web 担当者 Forum」に掲載された情報を毎週一度、まとめてご紹介するこのコーナー、今回は解説記事 24 本とニュース記事 13 本です。

Web担の姉妹サイトもあります　データセンター（iDC）に携わる方には「データセンター完全ガイド」が、レンタルサーバーに興味のある方には「レンタルサーバー完全ガイド」が、企業内情報システムのお仕事をされている方には「IT Leaders」が、お役に立てるはずです。

■［今回の要チェック］
SEOの外部向けリンクと初心者向け情報の記事が人気

今回は、SEOmozから要チェック記事が3本です。

●「外部向けリンクを張るべき5つの理由」は、そのものずばり、外部サイトに向けてリンクを張ることの意味を解説する記事。

最近のSEOでは、ページのテーマ性を打ち出していくことの重要性も高まっている模様。つまり、内容的に関連のない被リンクを数多く獲得するよりも、テーマ的に関連するサイトからのリンクを得るほうが強い場合も。そして、テーマを明確にするにあたって、どのページ（サイト）にリンクを張っているかは大切なポイントというわけですね。

訪問ユーザーに対する利便性も考えると、やはり、ページの内容に関連する役に立つリンクは張って当然ですよね。

→ http://web-tan.forum.impressrd.jp/e/2009/03/17/5197

●「SEO初心者が陥りやすい12の過ち」は、タイトルどおりの記事！

どの項目も、SEOの「木を見て森を見ず」なものばかり。とはいえ、SEOの初心者じゃなくても、ちゃんと情報をチェックしていないと、この記事に書かれていることをしていそうな気もします。まぁ、Web担に掲載されているSEOmozの記事を追いかけている人は、こういったミスはしない……はずですよね！

→ http://web-tan.forum.impressrd.jp/e/2009/03/19/5204

●「ビジネスを立ち上げる際に必要なマーケプランを段階ごとにまとめてみた」は、元は「こんな感じでブログの記事を書いていくといいんじゃないかな」という内容だったのですが、その実は新しいビジネスを進めていくにあたって考慮すべきチェックリストという内容になっていた記事。

すでにあなたが担当している記事でも、「そういや、これ忘れてたな」というものがないか確認してみるといいかもしれません。ちなみに今週、この記事の続編がWeb担で公開されます。

→ http://web-tan.forum.impressrd.jp/e/2009/03/16/5163

●「HCD-Net通信」の「ユーザビリティテストの今昔」も人気でした。

「ユーザビリティ」や「ユーザーテスト」という言葉は、我々はWebに関してよく使いますが、Web以外の世界でも使われているもの。そして、歴史的にはそちらのほうが長いのです。

この記事で解説しているようなことは、自分が担当しているサイトのユーザビリティをいま改善することだけを考えると、知らなくてもいいことかもしれません。しかし、「ユーザビリティ」をしっかりと突き詰めたい人は、こういうことを知っておくと理解が深まるでしょう。

同様のことはいろいろありまして、たとえば、情報アーキテクチャに関する集まりのIAAJ（情報アーキテクチャアソシエーションジャパン）のメーリングリストで最近、「情報アーキテクチャ関連用語の訳語について」の話題が流れていました。こちらでも、某S氏が情報アーキテクチャの歴史のような解説をされていて、いやぁ、勉強になります（HCD-Netとは関係ない話題ですいません）。

→ http://web-tan.forum.impressrd.jp/e/2009/03/19/5014 （今回の記事）
→ http://web-tan.forum.impressrd.jp/l/2778 （バックナンバー）
→ http://iaaj.org/ （IAAJ）

■［お知らせ］
IE 8がリリースされました

日本時間の3月20日に、IE 8が正式にリリースされました。マイクロソフトのサイトからダウンロードできます。また、Windows UpdateやMicrosoft Updateによる自動更新も今後行われるとのこと（IE 7のときと同様に自動更新をブロックすることも可能）。

→ http://www.microsoft.com/japan/ie8 （IE 8）

IE 8はWeb標準のサポートが進んだため、標準に準拠して作られているサイトは、特別な対応をしなくてもIE 8で正しく表示されるはずです。

もしIE 8で正しく表示されない場合は、

<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" >

のような形で、各ページのHTMLでhead要素内にmeta要素として互換性を示すタグを入れるか（ページ側での対応）、Webサーバーがブラウザに対して返すHTTPレスポンスのHTTPヘッダー内で同様の内容を含むようにするか（サーバー側での対応）します。

→ http://msdn.microsoft.com/ja-jp/ie/cc405106.aspx （IE 8互換性センター）
→ http://msdn.microsoft.com/ja-jp/ie/dd550608.aspx#2a （サイト側での互換モードの指定）

ちなみに、IE 8では標準でWeb開発者向けのツールが用意されていますので、わざわざアドオンツールをインストールする必要がありません。このツールも、以前提供されていたものよりも使いやすくなっています。

HTMLのDOMやCSSを見る機能も、特にCSSのオーバーライド状況をプロパティごとに確認できるのは便利ですね。

JavaScriptのデバッグ機能も充実していて、FireBugで行うようなデバッグ作業を、かなりわかりやすいインターフェイスで行えます。プロファイリング（JavaScriptプログラムの機能単位での実行時間の測定）もできます。

IE 8では、ほかにもアクセラレータやWebスライスなどの新機能が搭載されています。自社サイトで活用できるか、検討してみてはいかがでしょうか。

→ http://msdn.microsoft.com/ja-jp/ie/default.aspx （IE 8技術情報）

■［コラム］
Web担のセキュリティ診断を受けてみた

株式会社ラックさんの「Webセキュリティ診断サービス・初診コース」を受けてみました。セキュリティ診断が気になる人に、どんな風に診断がされるのか、その流れをレポートしてみます。今回も長めのコラムですいません。

※今回Web担で受けたセキュリティ診断を、3月27日の「第3回Web担オフ会」に参加された方のなかから抽選で3名様にプレゼントします（報告会オプションを希望される場合は実費）。
→ http://web-tan.forum.impressrd.jp/q/200903offmeeting

ラックさんが運営しているセキュリティ監視センターが発表した観測レポートによると、2008年は「SQLインジェクション」という手口による攻撃が非常に増加したとのこと。SQLインジェクションは某価格比較サイトもやられた手口で、これにやられると、Webサイトで利用しているデータベースから情報を引き出されてしまうもの。場合によっては大規模な個人情報の漏洩などにつながってしまいます。

サイトで使っているCMSやフォームなどのシステムが、攻撃されても大丈夫な作りになっていれば、被害を被ることはないのですが、意外と穴が残っていたりするものなのです。Web担でも登録ユーザーなどの個人情報がデータベースに保存されているため、セキュリティ診断を受診してみました。

●診断の流れ

今回受けたセキュリティ診断は「初診コース」という、1ドメイン名10URLまで診断してもらい、レポートを受け取るもの。申し込みから診断、結果の送付まで、基本的にオンラインでのやりとりで済みますが、今回は、結果の解説もしてもらえる報告会オプション込みでお願いしました（お値段は、報告会なしなら6万3,000円、報告会ありなら9万8,000円）。

まずは申し込み。ラックさんのサイトから見積もりをダウンロードして社内の決裁を得たら、診断してほしいサイトのURLと診断希望日などの情報を専用の申し込みフォーム（問診票）に入力します。問診票を送信すると、そのまま自社用の請求書が表示されますので、それを印刷して支払いを完了します（アマゾンで購入する場合は問診票を入力してから購入）。

次に実際の診断。支払いが完了すると、指定した診断希望日時に、ラックさん側の担当者さんがセキュリティ診断を行います。この際に、擬似的に外部からセキュリティ攻撃がされる形となり、申し込みフォームなどが送信されますので、情シスの人やフォームの送信結果を受け取る人に連絡しておかないと大騒ぎになってしまいます（まぁ、診断で発生する擬似的な攻撃が原因でデータベースが壊れるようなことはないはずですが）。

チェック対象は、フォームやスクリプトが動作している部分。問診票でサイトのURLだけ伝えておけばラックさんのほうでポイントを見つけてチェックしてくれますが、今回はあらかじめチェック対象を伝えておきました。

そして結果報告。診断が終了すると、まもなくメールで診断結果報告書のPDFが届きます。この報告書の印刷されたバージョンが、報告会がある場合は報告会の際に、報告会を頼んでいなければ後日郵送で、手元に届きます。

Web担の場合、深夜に「明日以降のいつでも診断お願いします」と送信したところ、翌日少し遅めの昼過ぎに出社するとすでに診断が終了していて、その日の夜には診断書がメールで届きました。早い！

●報告書と報告会

結論としては、Web担のサイトでは、SQLインジェクションのような、すぐに情報を抜き出したりされるような脆弱性は見つかりませんでした。ただ1か所、XSS（クロスサイトスクリプティング）の対処が漏れている部分がありました。

報告書には、診断結果と、診断項目に関する解説や対策方法の概要などが書かれているため、エンジニアが読めばどう修正すればいいかわかる内容になっています（レポートを見て修正方法が見えないエンジニアはヤバいです）。

報告書の内容に従って内部や取引先の開発者に対応を依頼するのが筋ですが、場合によってはラックさんに対応をお願いすることも可能とのこと。また、完了後のタイミングで改めてセキュリティ診断を依頼することも可能とのこと（「初診」じゃなくても大丈夫）。

今回は報告会までお願いしたのですが、報告会はインプレスの会議室で1時間程度。診断結果に関する簡単な解説と、対処方法の概要や昨今のセキュリティ事情を説明していただきました。

ラックさんによると、XSSを利用した大規模なセキュリティ事故は発生していないため、重要なぜい弱性かどうかに関しては議論があるとのこと。ぜい弱性を突く形でデータを含ませたリンクをメールや掲示板などでクリックさせるワンクッションが必要な場合はなおさらで、今回Web担で発見されたものも、そういった類の問題。

とはいえ、だれかが結果として問題のあるURLにアクセスさせられる可能性はゼロではありませんし、そうでなくても第三者がブログで「このサイトにセキュリティの穴がある」と書いてしまうような形での風評被害が考えられるため、有名サイトやメールマガジンの購読者数が多い媒体などではしっかりと対策しておいたほうがいいとのこと。

今回XSSのぜい弱性が発見されたのは海外のオープンソースソフトウェアだったため、ラックさんのアドバイスに従って、IPA（独立行政法人情報処理推進機構）に届出をしました。

●Web担当者のセキュリティ認識、どうあるべきか？

今回の報告会では、株式会社ラック　サイバーリスク総合研究所　取締役所長の西本逸郎氏がお話しくださいました。

ラックさんによると、この「Webセキュリティ診断サービス・初診コース」は、主に、インターネット側から目にとまるもの、悪意をもった人間が狙いやすいところにフォーカスするもの。

サイトのすべてをチェックしたわけではない点には注意が必要だとのこと。

Webアプリケーションのぜい弱性チェックというと、以前は外部からフォームに対して逐一のチェックを依頼することが多かったのですが、それだと費用が高くなりがち。しかし最近は、開発中に（ソースコードの時点で）チェックするよう開発ベンダーに義務づけるか、セキュリティ企業などに検査させる形が多く、そのほうがコストは安いとのこと。そしてシステムができたら、ソースではわからない点などをリリース前に外部から検査するのだといいます。

とはいえ、ウェブの場合はいろいろと時間の制約が厳しい場合も多いし、リリース後にシステムがどんどん改修されていくものなので、Webアプリケーション用のファイアウォール（WAF）を採用するのもいい手段だということ。WAFを使うと、自動化スクリプトによる攻撃や、検索エンジンでターゲットを探して攻撃してくるような「通りすがりの攻撃」でかなり対応できるのだそうです。

WAFというと専用のハードウェアですが、200万を切る価格のものもあるし、データセンターで共用のWAFを提供している場合もあります。ただし、WAFではサイトをねらい打ちにした攻撃には対応できないということなので、セキュリティ診断やソースコード検査がまったく不要になるわけではありません。

とはいえサイトの立ち上げ時にはセキュリティにまで目が向かないことも多いのが現実。なので、サイトオープン後に少し動きが落ち着いて、サイトに人気が出始めたころに、セキュリティ診断の初診を受けて、その結果によって対応の方向性を考えるのがいいとのこと。

今やどんなサイトでもSEOはするでしょう。しかし、検索エンジンで上位に来れば、犯人に見つかりやすくなるもの。SEOを効かせるならば、セキュリティにも目を向けておいたほうがいいのかもしれませんね。

※情報開示：今回のセキュリティ診断は、ラックさんのご厚意でご提供いただいたものです。

ちなみに、この診断はアマゾンから申し込むことも可能。その場合、クレジットカードで申し込めばすぐに決済されるため迅速に診断結果を受け取ることが可能。しかも診断は5万円、報告会込みでも8万5,000円とお安くなります。

・2008年12月にはSQLインジェクションの攻撃が1500万件
→ http://web-tan.forum.impressrd.jp/n/2009/03/18/5228

・Webセキュリティ診断サービス・初診コース
→ http://www.lac.co.jp/jsoc/pentest/1st-websecurity.html
→ http://www.amazon.co.jp/dp/B001T97SZQ/webtan-22?ref=nosim （アマゾンから申し込み可能）

※しつこいですが、今回Web担で受けたセキュリティ診断を、3月27日のWeb担オフ会に参加された方に抽選でプレゼントします。つまり何が言いたいかというと……オフ会、いかがでしょうか？
→ http://web-tan.forum.impressrd.jp/q/200903offmeeting

Web担当者Forum編集長安田英久

■Web担先週の注目記事 ↓先週の解説記事 | ↓先週のニュース記事

Web担で先週公開された記事の中から、特に人気のあったものを厳選！読んでおかなければ話題に乗り遅れる？