patterns & practices アプリケーションのセキュリティ ガイダンス インデックス

J.D. Meier, Alex Mackman, Blaine Wastell, Prashant Bansode, Jason Taylor, Rudolph Araujo

Microsoft Corporation

August 2005
日本語版最終更新日 2006 年 3 月 17 日

概要

ここでは、アプリケーションの patterns & practices セキュリティ ガイダンスのインデックスを示します。 資料には、MSDN で利用できるガイドと書籍があり、シナリオとソリューション、ガイドライン、説明、チェックリスト、How To など各種のコンテンツがあります。

目次

セキュリティ エンジニアリング
ガイド
モジュール
シナリオとソリューション
ガイドライン
プラクティスの紹介
説明
チェックリスト
How To

セキュリティ エンジニアリング

patterns & practices セキュリティ エンジニアリングは、中心となる開発アクティビティを基に、それを高度化し、拡張してセキュリティ専用のアクティビティを作成します。

インデックス

• patterns & practices セキュリティ エンジニアリング インデックス

資料

• Security Engineering Overview (英語)
• Web アプリケーションのセキュリティ エンジニアリング インデックス
• Web アプリケーションの脅威モデル

ガイド

次のガイドは、MSDN のサイト、および書籍として利用可能です。

• セキュリティ保護された ASP.NET アプリケーションの構築 : 認証、認定、および通信のセキュリティ保護
• Web アプリケーション セキュリティ強化: 脅威とその対策

モジュール

セキュリティ ガイダンスは、複数のモジュールとしてまとめられています。 それぞれの状況に正確に一致するさまざまなモジュールでガイダンスを作成することを目標としています。 このため、何か問題が発生した場合には、それを解決し、正しい結果を導くための手順を示す特定のガイダンスを見つけることができます。 また、各モジュールは独立して使用することも、より大きな全体の中の一部として使用することもできます。必要なガイダンスを見つける入口は、複数用意されています。

シナリオとソリューション

シナリオとソリューションのモジュールは、Web サーバーとデータベース サーバーのイントラネット シナリオのような、一般的なアプリケーション シナリオの全体を示し、その一般的なソリューションを提示します。 各シナリオとソリューションには、図を交えての枠組みの説明が含まれます。 これは、危険を伴う重要な問題、および主なエンジニアリングの決定に重点を置きます。 たとえば、認証、認定、およびセキュア通信に関する決定などが含まれます。 シナリオとソリューションの資料は、アプリケーションの種類、および問題の分野によって編成されています。

• 第 5 章 イントラネット セキュリティ
• 第 6 章 エクストラネット セキュリティ
• 第 7 章 インターネット セキュリティ

ガイドライン

ガイドライン モジュールには、重要な情報、および何をすればよいかとその理由、実装方法についての説明が含まれます。 ガイドライン モジュールには、関連のチェックリストが提供される場合があります。

.NET Framework 1.1

• セキュリティ ガイダンス: .NET Framework 1.1
• セキュリティ ガイダンス: ADO.NET 1.1
• セキュリティ ガイダンス: コード アクセス セキュリティ (.NET Framework 1.1)
• セキュリティ ガイダンス: ASP.NET 1.1
• セキュリティ ガイダンス: Enterprise Services (.NET Framework 1.1)
• セキュリティ ガイダンス: Remoting (.NET Framework 1.1)
• セキュリティ ガイダンス: Web サービス (ASMX for .NET Framework 1.1)

.NET Framework 2.0

• セキュリティ ガイドライン: ASP.NET 2.0

プラクティスの紹介

プラクティスの紹介のモジュールでは、一般的な作業および疑問に対する答えをすぐに得られます。

.NET Framework 1.1

• セキュリティ プラクティス: .NET Framework 1.1 セキュリティ プラクティス ソリューション一覧

.NET Framework 2.0

• セキュリティ プラクティス: すぐわかる ASP.NET 2.0 セキュリティ実践

説明

説明のモジュールでは、設計意図、拡張性ポイント、および使用方法のシナリオがどのように関連するかについて説明します。

.NET Framework 1.1

• 動作のしくみ: ASP.NET 1.1 の処理

チェックリスト

チェックリストは、推奨事項を箇条書きで一覧します。 チェックリスト内の推奨事項は、通常、問題分野に基づいた情報モデルを使用して構成されています。

.NET Framework 1.1

• セキュリティ チェックリスト: NET Framework 1.1
• セキュリティ チェックリスト: ADO.NET 1.1
• セキュリティ チェックリスト: Web アプリケーション セキュリティ アーキテクチャと設計レビュー
• セキュリティ チェックリスト: ASP.NET 1.1
• セキュリティ チェックリスト: Enterprise Services (.NET Framework 1.1)
• セキュリティ チェックリスト: IIS 5.0
• セキュリティ チェックリスト: Network Security
• セキュリティ チェックリスト: Remoting (.NET Framework 1.1)
• セキュリティ チェックリスト: SQL 2000
• セキュリティ チェックリスト: Web サービス (.NET Framework 1.1)

.NET Framework 2.0

• セキュリティ チェックリスト: ASP.NET 2.0

How To

How To は、手順を詳細に示す、作業ベースのガイダンスです。

インデックス

• patterns & practices セキュリティ How-To インデックス

資料

• How To: ASP.NET からのクライアント証明書を使用して Web サービスを呼び出す方法
• How To: SSL を使用して Web サービスを呼び出す方法
• How To: ASP.NET の実行に使用するカスタム アカウントの作成方法
• How To: 暗号化のカスタム アクセス許可を作成する方法
• How To: DPAPI ライブラリを作成する方法
• How To: 設計時における Web アプリケーションの脅威モデルの作成
• How To: 暗号化ライブラリを作成する方法
• How To: フォーム認証を使用して GenericPrincipal オブジェクトを作成する方法
• How To: ASP.NET 2.0 で MachineKey を構成する方法
• How To: ASP.NET 2.0 でSQL 認証を使用して SQL Server へ接続する方法
• How To: ASP.NET 2.0 で Windows 認証を使用して SQL Server へ接続する方法
• How To: ASP.NET 2.0 アプリケーション用のサービス アカウントを作成する方法
• How To: DPAPI を使用して ASP.NET 2.0 内の構成セクションを暗号化する方法
• How To: RSA を使用して ASP.NET 2.0 内の構成セクションを暗号化する方法
• How To: TCP/IP スタックを強化する方法
• How To: Windows サービスでリモート オブジェクトをホストする方法
• How To: IPrincipal の実装方法
• How To: Windows 2000 での Kerberos 委任の構成方法
• How To: 修正プログラム管理を実装する方法
• How To: ASP.NET 2.0 アプリケーションにセキュリティ用の装備を施す方法
• How To: ASP.NET でクロスサイト スクリプトを防止する方法
• How To: ASP.NET 2.0 でフォーム認証を保護する方法
• How To: ASP.NET で注入アタックから保護する方法
• How To: ASP.NET で SQL 注入から保護する方法
• How To: 開発者のワークステーションのセキュリティを確保する方法
• How To: Web サーバー上で SSL を設定する方法
• How To: クライアント証明書のセットアップ方法
• How To: 暗号化された接続文字列をレジストリに格納する方法
• How To: ASP.NET 2.0 でロールに対して ADAM を使用する方法
• How To: ASP.NET 2.0 で Authorization Manager (AzMan) を使用する方法
• How To: ASP.NET 2.0 でコード アクセス セキュリティを使用する方法
• How To: アセンブリ制約のためにコード アクセス セキュリティ ポリシーを使用する方法
• How To: ASP.NET から DPAPI (コンピュータ ストア) を使用する方法
• How To: ASP.NET と Enterprise Services から DPAPI (ユーザー ストア) を使用する方法
• How To: Active Directory でフォーム認証を使用する方法
• How To: ASP.NET 2.0 で Active Directory とともにフォーム認証を使用する方法
• How To: ASP.NET 2.0 の複数のドメイン内で Active Directory とともにフォーム認証を使用する方法
• How To: SQL Server 2000 でフォーム認証を使用する方法
• How To: ASP.NET 2.0 で SQL Server とともにフォーム認証を使用する方法
• How To: ASP.NET 2.0 でヘルス モニタリング機能を使用する方法
• How To: IISLockdown.exe を使用する方法
• How To: ASP.NET 2.0 で偽装と委任を使用する方法
• How To: IPSec をポートのフィルタリングと認証に使用する方法
• How To: 2 つのサーバー間の通信を IPSec で保護する方法
• How To: ASP.NET 2.0 で中程度の信頼を使用する方法
• How To: ASP.NET 2.0 でメンバシップを使用する方法
• How To: Microsoft Baseline Security Analyzer を使用する方法
• How To: ASP.NET で Network Service アカウントを使用してリソースにアクセスする方法
• How To: ASP.NET 2.0 でプロトコル トランジションと制約付き委任を使用する方法
• How To: ASP.NET への入力を制約するために正規表現を使用する方法
• How To: Enterprise Servises でロールを基準としたセキュリティを使用する方法
• How To: ASP.NET 2.0 でロール マネージャを使用する方法
• How To: SQL Server 2000 との通信を SSL で保護する方法
• How To: URLScan を使用する方法
• How To: ASP.NET 2.0 で Windows 認証を使用する方法

ご意見、ご提案

このガイドに関するご意見、ご提案等がございましたら、Wiki またはメールでお寄せください。

• Wiki: Security Guidance Feedback ページ : http://channel9.msdn.com/wiki/default.aspx/Channel9.SecurityGuidanceFeedback (英語)
• メール: secguide@microsoft.com (英語) までメールをお寄せください。

特に、以下に関するご意見、ご提案をお待ちしています。

• 推奨事項に関する技術的な問題
• 実用性および利便性に関する問題

テクニカル サポート

本ガイドに記載されているマイクロソフトの製品およびテクノロジに関するテクニカル サポートは、Microsoft Support Services で対応いたします。製品サポートの詳細につきましては、Microsoft Product Support のサイト http://support.microsoft.com/ を参照してください。

コミュニティおよびニュースグループ

次のフォーラムおよびニュースグループよりコミュニティ サポートが提供されています。

• MSDN ニュースグループ : http://www.microsoft.com/japan/msdn/newsgroups/
• ASP.NET Forums : http://forums.asp.net/ (英語)

実際にお使いのテクノロジあるいは実際の問題に対応したニュースグループを参照していただくと効率的です。たとえば、ASP.NET のセキュリティ機能に関する問題が発生している場合は、ASP.NET Security フォーラムのご利用をお奨めいたします。

ご協力いただいた方々

• テスト チーム: Larry Brader, Microsoft Corporation; Nadupalli Venkata Surya Sateesh, Sivanthapatham Shanmugasundaram, Infosys Technologies Ltd.
• 編集チーム: Nelly Delgado, Microsoft Corporation; Sharon Smith; Tina Burden McGrayne, TinaTech Inc.
• リリース管理: Sanjeev Garg, Microsoft Corporation

ページのトップへ