ASP.NET のサイトナビゲーションの保護

2014-10-22

更新 : 2007 年 11 月

ASP.NET のサイトナビゲーションは、Web サイトのすべてのページへのリンクを中央で保管する場所を維持する機能を提供します。このリンクは、特定の Web サーバーコントロールを含めることにより、各ページにリストまたはナビゲーションメニューとしてレンダリングできます。

ASP.NET サイトナビゲーションは、SiteMapPath、SiteMapDataSource、TreeView、Menu などのナビゲーションコントロールで一般的に使用されます。また、SiteMap と SiteMapProvider クラスと共にプログラムでも使用されます。ここでは、ナビゲーション機能のセキュリティを強化する方法について説明します。

コーディングと構成に関する推奨手順に従うと、アプリケーションのセキュリティを改善できますが、Microsoft Windows や Microsoft Internet Information Services (IIS) の最新のセキュリティ更新プログラムと共に Microsoft SQL Server、またはその他のメンバシップデータソースの更新プログラムを使用して、アプリケーションサーバーを常に最新の状態に維持することも大切です。詳細については、「Windows Update」の Web サイトを参照してください。

安全なコードの記述とアプリケーションのセキュリティ保護のためのベストプラクティスの詳細については、Michael Howard と David LeBlanc 共著『Writing Secure Code』、および「Microsoft Patterns and Practices」のガイダンスを参照してください。「Web アプリケーションのセキュリティに関する基本的な対策」も参照してください。

このトピックの内容

ナビゲーションの構成の保護

サイトマップデータの保護

特定のユーザーに対してナビゲーションリンクを非表示にする

サイトナビゲーション API

カスタムのサイトマッププロバイダの実装の保護

エラーメッセージとイベント

ウイルススキャナ

ナビゲーションの構成の保護

ASP.NET サイトナビゲーションの機能は、既定で有効になっています。この機能は、構成ファイル (Web.config) の siteMap 要素の enabled 属性を false に設定して無効にできます。次のセクションでは、Web.config ファイルのナビゲーションに関するデータの保護について説明します。ナビゲーションの構成設定と既定値については、「siteMap 要素 (ASP.NET 設定スキーマ)」を参照してください。

構成値の保護

既定の ASP.NET サイトマッププロバイダを使用する場合は、Web.config ファイルに含まれるナビゲーション構成の設定を保護する必要はありません。ただし、データベースを使用するカスタムのサイトマッププロバイダを実装し、構成ファイルにデータベース接続文字列を格納する場合は、「データアクセスのセキュリティ保護」の推奨事項に従って接続文字列を暗号化してください。

ホスト環境では、別のサイトマップまたはサイトマッププロバイダを使用するように他のユーザーがサイトを再構成するのを防ぐために、構成ファイルで siteMap 要素 (ASP.NET 設定スキーマ) 要素のオーバーライド権限を拒否する必要があります。詳細については、「構成設定のロック」を参照してください。「ホストされた環境での ASP.NET アプリケーションのセキュリティ」も参照してください。

URL のマッピング

Web.config 構成ファイルの urlMappings 要素 (ASP.NET 設定スキーマ) 要素を使用すると、URL を簡易 URL にマップできます。ASP.NET では、~/filename.aspx などのアプリケーションにおける相対参照の構文のみが許可されます。つまり、ASP.NET では、アプリケーションの外部にあるページを指す URL へのマッピングはできません。これによって、ホスト環境で ISP クライアントはアプリケーションの外部にあるページを表示できません。

サイトマップデータの保護

既定では、ASP.NET は既知の拡張子 (.sitemap など) を持つファイルをクライアントによるダウンロードから保護するように設定されています。データを保護するために、ファイル名の拡張子が .sitemap 以外のカスタムのサイトマップデータファイルは App_Data フォルダに配置し、適切なアクセス制御リスト (ACL: Access Control List) を適用してください。たとえば、Windows 2000 または Windows XP では、ASP.NET プロセスアカウントの読み取り専用アクセスを許可します。Windows 2003 では、ネットワークサービスの読み取り専用アクセスを許可します。詳細については、「ASP.NET の必須アクセス制御リスト (ACL)」を参照してください。

ASP.NET サイトナビゲーションは、サイトマップファイルをアプリケーションのディレクトリ構造に存在する場合のみ読み込みます。これによって、ホスト環境で別のアプリケーションはサイトマップデータを読み込むことができません。

ASP.NET サイトナビゲーションでは、アプリケーションのディレクトリ構造の外部のファイルにはアクセスできません。サイトマップに別のサイトマップのファイルを参照するノードが含まれ、ファイルの場所がアプリケーションの外部にある場合は、例外が発生します。この例外には SiteMapNode に指定されたパス、およびそれがアプリケーションのスコープの外部にあることが記載されますが、パスの有効性については示されません。これによって、ASP.NET サイトナビゲーションを使用する他のユーザーはサーバーで有効なファイルパスを特定できません。

データベースを使用するカスタムのサイトマッププロバイダを実装する場合にサイトマップデータを保護する方法については、「データアクセスのセキュリティ保護」を参照してください。

サイトマップの読み込みプロセス

既定の ASP.NET サイトマッププロバイダは、アプリケーションの起動時にサイトマップデータを XML ドキュメントとして読み込み、静的データとしてキャッシュします。サイトマップファイルが極端に大きい場合は、読み込み時に大量のメモリと CPU パワーを使用する可能性があります。ホスト環境では、顧客が各自のサイトに作成できるサイトマップのサイズを制限します。これによって、サービス拒否攻撃からサイトが保護されます。

ASP.NET サイトナビゲーション機能は、ファイル通知に従ってナビゲーションデータを最新の状態に維持します。サイトマップファイルが変更されると、ASP.NET はサイトマップデータを再読み込みします。したがって、書き込みアクセスが許可されている子サイトマップで編成されているサイトナビゲーション構造で、サイトマップを変更するたびに再読み込みが行われることを理解しないユーザーが存在すると、問題が発生する場合があります。すべてのサイトマップファイルへのアクセスに制限を設定してください。ファイルを更新するアクセス許可を与えるユーザーと更新するファイルの場所を指定するユーザーグループを定義し、次に、サイトマップファイルに対するアクセス許可を個々のユーザーグループに設定します。

特定のユーザーに対してナビゲーションリンクを非表示にする

ASP.NET サイトナビゲーションでは、ロールによって個々のサイトマップノードを保護できます。サイトのナビゲーション構造の一部を特定のユーザーに対して非表示にする場合は、ASP.NET セキュリティトリミングを有効にします。この機能を有効にすると、ASP.NET は URL 承認をチェックし、さらにオプションでサイトマップノードに記載されているファイルに対するアクセス許可をチェックします。ユーザーがアクセス許可を持つファイルへのリンクのみが表示されます。制限されたファイルへのリンクをすべてのユーザーが表示できるようにする場合は、対応するサイトマップノードの roles 属性にアスタリスク (*) またはワイルドカード文字を設定します。これによって、すべてのクライアントがリンクを表示できるようになります。詳細については、「ASP.NET のサイトマップセキュリティトリミング」を参照してください。

サイトマップに外部 URL を含める

サイトマップでは、ASP.NET アプリケーションの外部の URL を参照できます。ただし、アプリケーションの外部の URL へのアクセスは、ASP.NET ではテストできません。たとえば、https://www.microsoft.com/japan に対応するサイトマップノードを作成してセキュリティトリミングを有効にすると、ASP.NET は外部 URL のアクセス許可をテストできないので、クライアントはハイパーリンクを表示できなくなります。セキュリティトリミングが有効で、外部 URL に対応するサイトマップノードがある場合は、このノードの roles 属性をアスタリスク (*) に設定します。これによって、ASP.NET が外部リンクへのアクセスを承認できなくても、すべてのクライアントがリンクを表示できるようになります。

サイトナビゲーション API

サイトナビゲーションのクラスは、コンピュータで実行されるすべてのコードに公開されます。サイトナビゲーションのクラスは、最低限の信頼で実行されます。ただし、ASP.NET は既定のサイトマッププロバイダ XmlSiteMapProvider を使用してサイトマップファイルを開く際にファイルの I/O 操作を実行する必要があるので、サイトマップデータの読み込みには低度の信頼が必要です。オプションとして、この制限が適用されないカスタムのサイトマッププロバイダを作成できます。

詳細については、「ASP.NET 信頼レベルとポリシーファイル」および「ASP.NET サイトマッププロバイダの実装」を参照してください。

カスタムのサイトマッププロバイダの実装の保護

カスタムのサイトマッププロバイダを実装する場合は、セキュリティ上の推奨事項に従ってプロバイダを必ず点検します。このことは、カスタムのサイトマッププロバイダが正しく実装されていない場合に、セキュリティで保護されていない既定の構成設定などの情報がリークする可能性があるホスト環境で特に重要です。SQL 注入攻撃などの攻撃を回避するための推奨事項に従ってください。たとえば、パラメータの入力を必ず検証します。

データベースの保護の詳細については、「データアクセスのセキュリティ保護」を参照してください。「ホストされた環境での ASP.NET アプリケーションのセキュリティ」も参照してください。

エラーメッセージとイベント

次のセクションでは、予期しないエラーメッセージやイベントによって公開されるセキュリティ上のリスクを軽減する方法について説明します。

例外メッセージ

ASP.NET サイトナビゲーション機能がスローする例外では特権情報は公開されません。Web アプリケーションのカスタムクラスに無効な入力や要求があるかどうかを確認およびテストし、例外が発生したときに特権情報が公開されないようにします。

エラーメッセージ

機密情報を不適切なソースに公開しないようにするには、アプリケーションのカスタムエラーを有効にするか、クライアントが Web サーバー自身である場合のみ詳細なエラーメッセージ情報を表示するようにします。詳細については、「customErrors 要素 (ASP.NET 設定スキーマ)」を参照してください。

イベントログ

コンピュータが Windows Server 2003 を実行している場合は、イベントログを保護することによってアプリケーションのセキュリティを強化できます。また、イベントログのサイズ、保持期間などのパラメータを設定し、ログに対する間接的なサービス拒否攻撃を防止します。既定では、管理者セキュリティグループのメンバだけがイベントログを表示できます。イベントログの構成の詳細については、を参照してください。Windows の [ヘルプとサポート] で「イベントビューア」を検索してください。