(1) 3段階の構成 Webアプリケーションにおいて、アクセス認可の判定内容は概ね次の 3段階の構成になる(図2-6)。これらの最終的な判定結果が「Yes」の場合のみ、Webページ等のリソースへのアクセスを執行するようなPEP(Policy Enforcement Point)を設置する。 a) ログイン有無による制限 b) ページ単位のアクセス許可・禁止 c) パラメータ単位のアクセス許可・禁止 (2) https:の使用 アクセス認可の対象となるWebページは原則としてhttps:を使用する。さもないと、正規のユーザがコンテンツを取得する際の通信を許可されていない第三者が傍受し、不正にコンテンツを閲覧するおそれがある。 ただし、Webサイトのセキュリティの方針として、盗聴されるリスクを容認する旨の意思決定をした場合はその限りではない。 ログイン有無による制限 会員制のサイトや有償コンテ