セキュリティ教育
セキュリティ対策チェックリスト
一般向けと開発者向けに分けてセキュリティ対策の優先度・費用対効果を一覧表示。低コストで高コスト施策をカバーできるケースも明示
チェックリストの使い方
このチェックリストは、セキュリティ対策を 一般向け(管理者・経営層) と 開発者向け の2つの視点から整理しています。
- 優先度: 高(赤)→ 中(黄)→ 低(灰)の順に対応を推奨
- コスト: $ = 低コスト / $$ = 中コスト / $$$ = 高コスト
- 包括コメント: 低コストの対策で高コストの施策を代替できる場合、その旨を表示しています
すべての対策を一度に導入する必要はありません。
まず 優先度「高」の低コスト対策 から始めることで、最小の投資で最大の効果が得られます。
対策一覧
| カテゴリ | 脅威 | 優先度 | 対策 | コスト | |
|---|---|---|---|---|---|
| 認証・認可 | パスワードポリシー | 高 | パスワード最低文字数の設定(8文字以上) | $ | |
| 認証・認可 | パスワードポリシー | 高 | 漏洩パスワードチェック(Have I Been Pwned API) | $ | |
| 認証・認可 | パスワードポリシー | 高 | 多要素認証(MFA)の導入 MFA があればパスワード強度への依存が大幅に低減される | $$ | |
| 通信・暗号化 | HTTPS / TLS | 高 | サイト全体の HTTPS 化 HTTPS 全面導入で個別の通信暗号化対策の多くが不要に | $ | |
| 通信・暗号化 | HTTPS / TLS | 高 | HSTS ヘッダの設定 | $ | |
| 通信・暗号化 | HTTPS / TLS | 高 | Let's Encrypt で無料証明書を取得 | $ | |
| インフラ・運用 | ログ・監視 | 高 | 認証イベントのログ記録 | $ | |
| インフラ・運用 | ログ・監視 | 高 | ログへの PII / シークレット出力禁止 | $ | |
| インフラ・運用 | ログ・監視 | 高 | SIEM 導入によるアラート自動化 | $$$ | |
| インフラ・運用 | 脆弱性管理 | 高 | npm audit / pip audit 等の定期実行 | $ | |
| インフラ・運用 | 脆弱性管理 | 高 | Dependabot / Renovate の導入 自動 PR で手動の定期チェックが不要に | $ | |
| インフラ・運用 | 脆弱性管理 | 高 | SAST / DAST の CI 統合 | $$ | |
| ネットワーク | ファイアウォール | 高 | デフォルト拒否ポリシー | $ | |
| ネットワーク | ファイアウォール | 高 | SG / NACL の最小設定 | $ | |
| ネットワーク | ファイアウォール | 高 | WAF の導入 | $$$ | |
| 人的対策 | フィッシング対策 | 高 | メールフィルタリングの導入 | $ | |
| 人的対策 | フィッシング対策 | 高 | フィッシング訓練の定期実施 | $$ | |
| 人的対策 | フィッシング対策 | 高 | FIDO2 / パスキーの導入 パスキーはフィッシング耐性あり。訓練への依存を大幅削減 | $$ | |
| 人的対策 | ソーシャルエンジニアリング | 高 | 情報開示ポリシーの策定 | $ | |
| 人的対策 | ソーシャルエンジニアリング | 高 | セキュリティ意識向上研修 | $$ | |
| 人的対策 | インシデント対応計画 | 高 | 対応手順書の策定 | $ | |
| 人的対策 | インシデント対応計画 | 高 | 連絡体制・エスカレーションフローの整備 | $ | |
| 人的対策 | インシデント対応計画 | 高 | テーブルトップ演習の定期実施 | $$ | |
| インジェクション | SQL インジェクション | 中 | プリペアドステートメントの使用 これだけで SQLi をほぼ完全に防止。WAF は保険程度 | $ | |
| インジェクション | SQL インジェクション | 中 | ORM の採用 ORM なら生 SQL を書く機会自体が減り、根本的にリスクが下がる | $ | |
| インジェクション | SQL インジェクション | 中 | WAF の導入 | $$$ | |
| インジェクション | XSS | 中 | 出力時のエスケープ処理 | $ | |
| インジェクション | XSS | 中 | モダンフレームワークの使用(自動エスケープ) フレームワークの自動エスケープで大半の XSS を防止 | $ | |
| インジェクション | XSS | 中 | CSP の導入 CSP strict 設定でエスケープ漏れがあっても被害を大幅に軽減 | $ | |
| 通信・暗号化 | 暗号化(保存データ) | 中 | DB の透過的暗号化(TDE)の有効化 | $ | |
| 通信・暗号化 | 暗号化(保存データ) | 中 | クラウド暗号化機能の利用(S3 SSE, RDS 暗号化等) マネージド暗号化で鍵管理の複雑さを大幅に低減 | $ | |
| インフラ・運用 | サーバーハードニング | 中 | 不要なポート・サービスの停止 | $ | |
| インフラ・運用 | サーバーハードニング | 中 | 自動パッチ管理の導入 | $$ | |
| インフラ・運用 | サーバーハードニング | 中 | CIS Benchmark 準拠チェック | $$ | |
| インフラ・運用 | シークレット管理 | 中 | .env を .gitignore に追加 | $ | |
| インフラ・運用 | シークレット管理 | 中 | 環境変数でシークレット管理 | $ | |
| インフラ・運用 | シークレット管理 | 中 | シークレットマネージャ導入 マネージドサービスで手動ローテーション運用が不要に | $$ | |
| ネットワーク | ゼロトラスト | 中 | まずは MFA + デバイス認証から開始 MFA + デバイス認証だけでもゼロトラストの主要効果を獲得 | $$ | |
| ネットワーク | ゼロトラスト | 中 | BeyondCorp 型への段階的移行 | $$$ |