This is to ensure that the projects are sustainable and that there is accountability. The idea is to support worthy causes, and support for individuals might come in at a later time. “We specifically want to support social enterprises, and although we’d love to support individual social entrepreneurs with innovative projects, for now to mitigate the misuse of funds (a key risk factor), we are focusing on umbrella organizations for now. But expanding to social entrepreneurs is one of the future verticals.”
これは、プロジェクトが持続可能であると説明責任があることをことを確認することです。目的は後になってから来る価値があるような正当な理由と個人に対して支援をすることです。"我々は、特に社会的企業をサポートしたい、けれどもまた、我々は喜んで革新的な計画を抱く個人事業家を応援したく、今は我々は資金(リスク要因の鍵となる)の誤用を軽減する、包括的組織について焦点を当てています。一方で、社会起業家の拡大は、将来の業種の一つです。
No default or custom CGI scripts and APIs should be remained on the server unless they are thoroughly tested and verified. • These programs should be run and stored in a restricted environment such as in a designated directory, to limit the access and facilitate the maintenance. • These programs should be given executable permissions only, but not readable or writable permissions. Use of system resources should be limited including the CPU time, timeout period and disk utilisation. Access to other data files or information should be properly restricted.• Programs should not be resided in the default directories of CGI scripts and API programs such as compilers, interpreters, shells and scripting engines.
徹底的にテストし検証されない限り、どのデフォルトまたはカスタムのCGIスクリプトとAPIもサーバー上に残ってはいけません。•これらのプログラムは、指定されたディレクトリに、アクセスを制限しメンテナンスを容易にするために制限された環境で実行され、保存されるべきである。•これらのプログラムは、実行可能な権限のみ与えられるべきで、読み取り可能、書き込み可能な権限を与えられるべきではありません。システムリソースの使用は、CPU時間、タイムアウト時間とディスクの使用率などを含めて制限されるべきです。他のデータファイルや情報へのアクセスは適切に制限する必要があります。•プログラムは、CGIスクリプトや、コンパイラ、インタプリタ、シェルとスクリプトエンジンといったAPIプログラムデフォルトのディレクトリに存在するべきではありません。
They should be located safely in appropriate directories and should be removed completely from the web server when not required. • User data input to these CGI scripts and API programs should be properly checked, validated and sanitised before passing to the server software or the underlying OS to prevent them from triggering command-line function.AUTHENTICATION • Wherever applicable, use strong authentication schemes such as digital certificates, smart cards and tokens for remote administration control and authentication of critical applications, servers and clients. • Use encrypted connection such as Hypertext Transfer Protocol Secure (HTTPS) for transmission of sensitive information.
それらは適切なディレクトリに安全に配置されるべきで、必要ないときは、Webサーバから完全に削除するべきです。•それらのCGIスクリプトとAPIプログラムへのユーザーデータ入力は、正しく調査、確認そしてコマンドライン機能のトリガリングからそれらを防ぐために、サーバーソフトウェアまたは基礎OSへの移行前にサニタイズされるべきである。認証•適用可能であればどこでも、そのようなデジタル証明書、スマートカードおよびリモート管理制御用トークン、最大稼働中のアプリケーションへの認証、サーバーとクライアントに強力な認証用スキームを使用しています。•機密情報の伝送のためにこのようなハイパーテキスト転送プロトコルセキュア(HTTPS)などの暗号化された接続を使用してください。
• If a web server has to be shared among different sections or even departments, different web content directories or resources should be granted with access control to restrict the access, execution and storage of these web applications. • No links to internal files, which are stored outside the assigned web directories, should be set in the web applications. • No administration privileges on the OS and web server should be granted to web content developers. • Establish web content management procedures for posting or updating web pages and applications to the web server.
•Webサーバが異なるセクションあるいは部署、別のWebコンテンツディレクトリまたはリソースの間で共有する必要がある場合、これらのWebアプリケーションへのアクセス、実行、およびストレージを制限するアクセス制御を承諾する必要があります。どの内部ファイルへのリンクも、割り当てられたウェブディレクトリ外に保存されているWebアプリケーションで設定するべきではありません。•どのOSとWebサーバー上の管理者権限も、 Webコンテンツ開発者に授与するべきではありません。•Webサーバーにウェブページ、アプリケーションを最新化または更新するためのWebコンテンツ管理手順を確立してください。
• For web forms or applications that accept user input, all input data should be properly checked, validated and sanitised before passing to the backend application. Any unexpected input, e.g. overly long input, incorrect data type, unexpected negative values or date range, unexpected characters such as those rejected by the application for bounding character string input etc., should be handled properly and would not become a means for attacking the application. • Unnecessary contents such as platform information in server banners, help database, online software manuals, and default or sample files should be removed from production servers to avoid disclosure of internal system information.
•ユーザー入力を受け入れるWebフォームまたはアプリケーションでは、すべての入力データは正しく確認検証され、バックエンド·アプリケーションに渡す前に悪意のある不要データを無害化すべきです。いかなる予期しない入力、例えば過度に長い入力、不正なデータ型、予期しない負値または日付範囲、そのような文字列入力などを範囲指定するためのアプリケーションによって拒否されるような予期しない文字は、適切に処理されるべきであり、アプリケーションを攻撃するための手段となっていないでしょう。•不要な内容が内部システム情報の開示を避けるために、そのようなサーバのバナー内のプラットフォーム情報、ヘルプデータベース、オンラインソフトウェアのマニュアル、およびデフォルトまたはサンプルファイルなどを本番サーバから削除する必要があります。
COMMON GATEWAY INTERFACE (CGI) SCRIPTS AND APPLICATION PROGRAMMING INTERFACE (API) PROGRAMS Usually web servers can be extended using Common Gateway Interface (CGI) scripts and Application Programming Interfaces (APIs) to improve their capabilities. Default CGI scripts supplied with web servers may provide unintentional "back door" access to web content. Such scripts may leak internal information about the host system and may be vulnerable to attacks. Moreover, CGI scripts often accept user input data.The following items should be observed and followed: • CGI scripts and API programs should be properly designed, tested and examined to ensure that they only perform the desired function.
コモン・ゲートウェイ・インターフェース(CGI)スクリプトとアプリケーション·プログラミング·インターフェース(API)プログラム通常、ウェブサーバは、その能力を向上させるためにコモンゲートウェイインターフェース(CGI)スクリプトおよびアプリケーション·プログラミング·インターフェース(API)を使用して拡張することができる。 Webサーバ付属のデフォルトのCGIスクリプトは、Webコンテンツへの意図的でない"バックドア"アクセスを提供することができる。このようなスクリプトは、ホスト·システムに関する内部情報を漏らすことや攻撃に対して脆弱である可能性があります。また、CGIスクリプトは、多くの場合、ユーザーの入力データを受け入れます。以下の項目よく読み従わなければなりません:•CGIスクリプトとAPIプログラムが正しく設計、テストそして、それらが望みどおりの機能を確実に実行することを調べるべきである。
• Restrict web crawling for the contents which are not supposed to be searched or archived by public search engines. • The passwords of administrative tools should be changed periodically and should not be repeated.Never use the default passwords for these administration tools.ACCESS CONTROL • To avoid IP spoofing attacks, a combination of IP address restriction and user authentication should be used. • No directories or data files should be accessed or updated by anonymous or unauthorised users. • Access should be granted only to registered users. Limit the numbers of login accounts available in the server machine. Review and delete inactive users periodically.
•検索されないようにサポートされているもしくは一般の検索エンジンでアーカイブされていないコンテンツのWebクローリングを制限します。•管理ツールのパスワードは定期的に変更されるべきであり、繰り返し使うべきではありません。これらの管理ツールにデフォルトのパスワードを使用しないでください。アクセス制御•IPなりすまし攻撃を回避するために、IPアドレス制限とユーザ認証を組み合わせて使用すべきです。•どのディレクトリやデータファイルも匿名または権限のないユーザーによってアクセスされたり更新されるべきではありません。•アクセスは登録ユーザーのみに付与されるべきです。サーバマシン上で利用可能なログイン·アカウントの数を制限します。定期的に非アクティブなユーザーを確認し削除します。
• All unnecessary accounts should be disabled, especially those guest accounts. • Only appropriate administration processes / accounts should be allowed to access the logs. • Sensitive information stored on an external web server should be protected with strong encryption and should require authentication for access. WEB CONTENT MANAGEMENT • All websites and pages should be thoroughly tested and checked before production or after major changes. • Control should be made such that only delegated and authorised persons could have rights for posting and updating web pages to the production environment.
•すべての不要なアカウント、特にゲストアカウントを無効にする必要があります。•適切な管理プロセス/アカウントにだけログにアクセスを許可する必要があります。•外部Webサーバに格納されている•機密情報は強力な暗号化で保護されるべきであり、アクセスのための認証を要求する必要があります。Webコンテンツ管理•すべてのウェブサイトやページは徹底的にテストを課し、生産の前または重要な変更後にチェックする必要があります。•コントロールは、委任され権限を持つ、更新するための権限とWebページを本番環境へアップデートする権利を持つ人のみに改変されるべきです。
• All incoming and outgoing Internet traffic should be forced to go through the firewall, which is the sole means of entry from and exit to the Internet. • Do start with a conservative firewall security policy, i.e. "Deny all services except those explicitly permitted." It is recommended not to blindly follow the default settings in the firewall. • All services allowed to go through the firewall should be carefully planned and evaluated. The firewall can be configured to use network address translation (NAT) to hide internal network information such as IP addresses. In an IPv6 environment, our departments may allow end-to-end connectivity to the Internet if there are operational necessities.
•すべての送受信される情報はインターネットへの出入りの唯一の手段であるファイアウォールを通過することを強制されるべきです。•すべての送受信される情報はインターネットへの出入りの唯一の手段であるファイアウォールを通過することを強制されるべきである。•ひかえめなファイアウォールのセキュリティポリシーの設定で始めてください。なぜなら、 "明確に許可されたものを除いてすべてのサービスを拒否するからです。"盲目的にファイアウォールのデフォルト設定に従わないことをお勧めします。•ファイアウォールを通過するよう許可されたすべてのサービスは、慎重に計画され、評価されるべき。ファイアウォールは、IPアドレスのような内部ネットワーク情報を非表示にするために、ネットワークアドレス変換(NAT)を使用するように環境設定することができます。IPv6環境下で、我が部門ではインターネットへのエンドツーエンド接続を操作上の必要性がある場合において許可するでしょう。
In doing so, proper security measures, such as using temporary IP addresses to inhibit user activities profiling, should be considered.• The firewall should be configured to enable content filtering, and computer virus and malicious code scanning capabilities. • The firewall should be properly configured for IP level filtering. • The firewall should be configured to block unused ports and filter unnecessary traffic, e.g. unnecessary incoming or outgoing Internet Control Message Protocol (ICMP) traffic. • The firewall itself should be physically secured. • The firewall policy established should be flexible for future growth and adaptable to changes on security requirements.
そのようなことで、ユーザ活動のプロファイルを阻害する一時的なIPアドレスを使用するなどのような適切なセキュリティ対策を考慮すべきである。•ファイアウォールは、コンテンツのフィルタリング、コンピュータウィルスや悪意のあるコードのスキャン機能を可能にする構成されるべきである。•ファイアウォールはIPレベルでのフィルタリングのために適切に設定されるべきである。•ファイアウォールは使用されていないポートとフィルタ不要なトラフィック、例えば不要な送信か受信のインターネット制御通知プロトコル(ICMP)トラフィックなどをブロックするように環境設定する必要があります•ファイアウォール自体は、物理的に保護する必要があります。•ファイアウォールポリシーは、将来の成長やセキュリティ要件の変化に適応できるよう融通が利くように確立する必要があります。
• Correctly set and assign file permissions on firewall. Permissions on system files should be as restrictive as possible. • A firewall should be thoroughly tested, and its configuration should be properly verified before going production. • A firewall test is necessary after major change or upgrade to the firewall. • If necessary, FTP or TELNET originated within the internal departmental network may be allowed to go through the firewall to the Internet. • All software and OS installed on the firewall should be maintained with proper version by periodically revisiting the vendor sources and upgrading with patches and bug fixes. • Real-time alerts should be set up for emergency incidents.
•ファイアウォール上のファイルは正しく設定しアクセス権を割り当ててください。システムファイルのアクセス権はできるだけ限定的にすべきです。•ファイアウォールは徹底的にテストしてください。その環境設定を生産に移行する前に適切に確認する必要があります。•ファイアウォールのテストは、ファイアウォールに大きな変更、またはアップグレードをした後に必要です。•必要であれば、FTPまたはTELNET、内部部門ネットワーク内で発信されたものであればインターネットにファイアウォールを通過させてもかまいません。•ファイアウォールにインストールされているすべてのソフトウェアとOSの製造元に再訪しパッチやバグ修正とアップグレードすることで定期的に適切なバージョンに維持すべきです。•リアルタイムアラートは、緊急時のために設定してください。