[:ja]
「貴方のWebサイト、ハックされたらどうしますか?」
最近、個人情報流出のニュースが増えてきています。
個人情報を流出させてしまえば、その対策に追われるだけでなく、
貴方だけでなく会社全体、下手したら業界全体の利益を損なうかもしれません。
IT技術、得にWEBに関する技術は、取り扱いが楽で便利なものですが、
その反面、誰しもが加害者になる要因を秘めています。
今回は、WEBのセキュリティ対策の一部をご紹介します。
対策をご紹介する前に、最近のセキュリティ事故(以下、セキュリティインシデント)をご紹介します。
セキュリティインシデント事例
- とある通販サイトの事例
最初にご紹介するのは、通販サイトに仕掛けられた不正アクセスによる個人情報流出の事例です。このケースは、2015/12/8にクレジットカード情報が流出している可能性があると、
決済代行会社より指摘を受けて、問題が発覚しました。この場合、システムの脆弱性をつかれ、データベースより約6,000件のクレジットカード情報が窃取されました。
しかも、クレジットカード情報には、
名義・クレジットカード番号・有効期限・セキュリティコード・メールアドレスが
含まれていました。
非常に重大なセキュリティインシデントとなった事例の1つです。
事業者は、対象顧客に報告文書を郵送し謝罪しましたが、
顧客に対する信頼への影響は非常に大きかったと推察します。
- YJFXの事例
Yahooの子会社で外国為替証拠金取引サービスを提供するYJFXの事例です。
元従業員が18万件もの個人情報を不正に社外に持ち出し、
しかもインターネット情報で閲覧可能な状態にしていた、というものです。そのうち12万件は、取引情報のみということですが、
氏名・住所・電話番号・メールアドレス・勤務先・口座情報が
持ち出された可能性があったということです。さらに、741件は第三者に閲覧された可能性があると、サーバーのログより判明しました。
YJFX社は、元従業員宅を訪問し、端末に保存されていた顧客情報を削除しました。
また、対象顧客には個別に連絡を取る対応に追われました。
いかがでしたでしょうか?
IT技術はすごい便利なものですが、一歩間違えると取り返しのつかないことになります。
セキュリティインシデントを起こさないようにするには?
上記のような悲劇を繰り返さないような対策は、主に3つあります。
- 自社サーバー上(レンタルサーバー含む)に個人情報を保存したファイルを置かない
- クレジットカード情報は、絶対に自社で保持しない
- 顧客情報を操作する管理画面は、できるだけ第三者がアクセスできないようにする
自社サーバー上(レンタルサーバー含む)や自分のノートPC内に、個人情報を保存したファイルを置かない
昨今、インターネット上に公開可能な場所に、個人情報を含むファイル(CSV、Excelなど)を
置いたままにし、それが流出してしまったケースが散見されます。
まず大原則として、個人情報は公開可能なサーバーに置くのは危険過ぎます。
また、保存場所にかかわらず、できるだけ個人情報は暗号化(ZIP化)して、
そのファイルにはパスワードをかけるようにしましょう。
クレジットカード情報は、絶対に自社で保持しない
貴方の会社を潰したくないなら、絶対に守ってください!
クレジットカード情報は流出したら一巻の終わりです。
餅は餅屋です。
クレジットカード情報は、PayPalや決済代行会社に預けるようにしましょう。
顧客情報を操作する管理画面は、できるだけ第三者がアクセスできないようにする
管理画面のパスワードを、第三者に安易に推測され、
その結果不正アクセスを許してしまったケースもあります。
管理画面へアクセスするパスワードはできるだけ長いランダム文字列とし、
定期的に変更する運用を習慣づけてください。
また、管理画面も以下の施策を行って、第三者が安易にアクセスできないようにしてください。
- IP制限をかける。
- クライアント証明書認証を行う
- 管理画面のURLを推測できない文字列(※)にする。
※少なくとも半角英数字で最低8文字以上の文字列にしたほうが安全です。
Wordpressでコーポレートサイトを構築している人には、
「Login rebuilder」プラグインがお勧めです。
特にこれからWebを使って起業する人は、要注意です。
細かい話をお聞きになりたい人は、こちらからどうぞ♪
[:]