経営戦略、IT戦略、Web戦略、人材育成、内部統制整備のご支援を生業としています

カレンダー

08 | 2017/03 | 09
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -

プロフィール

荒添美穂

Author:荒添美穂


☆公認システム監査人
☆システム監査技術者
☆ITCインストラクター
☆総務省電子政府推進委員
☆中小機構CIO育成チーフアドバイザー
・・・ 他

大学での講義や年間80件以上のセミナーを開催。
アイディア勝負のブルーオーシャン戦略支援を得意とする、中小企業の経営コンサル業を営み25年。
ネット活用の売上拡大支援では90%以上を売上3倍以上を、SEO対策は100%の成果を実現している。
創業支援から経営コンサルの育成・教育まで、「ありがとう」と言われるコンサルティングを身上とする。
※ 中小企業基盤整備機構、日本商工会議所、各所の中小企業支援センター、みらさぽ等の専門家派遣可


来て頂いて感謝♪


お世話になります!


RSSリンクの表示


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
通信教育事業における、子どもたちの個人情報漏えい 事件が、連日大きく報道されています。

漏洩件数は、最大2070万件とのこと。

2004年、yahooBB!の約452万人分漏洩で騒いで以降、
500万を超える規模の個人情報漏洩事件事故って、
結構、頻繁に起きていること、ご存知ですか?。

NTTデータ、日産自動車、ソニー、yahoo!JAPAN
グループ全体でカウントすると、1億件を超えると噂されたソニーの事件は、別格としても、
2013年5月の最大2200万件というyahoo!JAPANの件数にも近い数字が出て来たことへの驚きは隠せません。


事業者は、
・ 一度利用&登録をした方の個人情報は、
  契約終了時、削除義務がないこと
・ 通常、サービス利用者の10数倍の見込み客リストへ、
  DM案内などを行うのは、通常の商活動であること
を考えると、この膨大な数字も頷けます。


ネットショップを10年続けておられると、
「そんなには儲かってません」と言われるところでも、
原則、購入記録は消さないでしょうから、かなりの個人情報件数となっているはずです。


ベネッセさんのデータベースの情報漏えいに関しては、業者さん経由だった由

未だ、捜査中ですので、
現段階での発言は控えるとして、

今回は、
情報を業者さんへ預けているという業態を同じくする
ネットショップやサイト運営における情報漏えい改ざんのリスクについて、考えてみることといたしましょう。
※ 直接販売をしていなくとも、
  会員などの情報を持ち、会員向け(ログイン)
  情報提供や申込等を行っているサイトも個人情報
  もっていることが多いのです



まずは、情報漏えいしたときの責任についてですが、
漏えいした責任は、サイトの持ち主にあると思って頂いて、間違いありません。
サイトのあるサーバーのほとんどが、レンタルサーバーであり、 カートシステムや決済代行システムのほとんどが、専門業者委託であるかと思います。

全ての業者は、当然ながら、責任を負いますという、事業継続性を害する契約はいたしません。

契約金額を限度に保障しますというのが、精一杯のところです。

では、どこを選べば・・については、
どこも攻撃されているのは間違いないので、そういう報告をひとつもしていない ところは選ばない選択基準が、簡単で間違いないでしょう。

私的な見解ではありますが、

ハッキングや乗っ取りの状況や手口、対応について、
公開の記事として具体的に出しているところは、
技術力も情熱もあり、前向きに対応しており、
隠しの体質のあるところは、企業規模にかかわらず信用できないと考えます。



では、サイトの持ち主としては、どのような防御策があるのか?について、考える前に、 もう1点、知っておきたい現状がございます。


先に、記事のみFacebookでご案内した、
サイトの改ざん事件の急増についてです。
http://www.ipa.go.jp/security/topics/alert20130906.html

サイトの改ざんとは、サイトのコードを書きかえることで、
A. 閲覧者が気づかないうちに、偽サイトへ誘導する
B. 閲覧者のPCをウィルス感染させる
C. 見た目は変えず、データベースの中身(IDやパス)などを盗む
などを行うことです。


2013年5月以降、サイトの乗っ取り改ざんが急激に増え、2013年8月は大変な状況となりました。

今年、2014年5月にも動きがみられ、6月は大学や大企業さんのサイト改ざんが報告されていますので、 7月8月は、結構、頑張って監視をする必要がありそうです。


さて、ひとくちに改ざんと言っても、
いろんな手口があります。


◆1.メールや、サイト閲覧等から感染したPC上の
   FTP(サイトを更新するための手続き)情報を盗む

こともあれば、

◆2.CMSやjavascriptなどの脆弱性を突き、
   レンタルサーバーへ入りこむ

こともあります。



どちらも、初発とならないためには、
普通に対策をしていれば良いのですが、
※ 普通の対策とは、以下のようなことです
・ PCには、最新に保っているウィルス対策(感染防止)ソフトインストール
・ データベース情報の暗号化
・ FTP情報を設定したソフトは、別途管理
・ CMS(サイトページのコンテンツを自動で作ってくれるシステム)は、常に最新に保ち、セキュリティホールの在り処を知っておく

ただ、初発にならなくとも、改ざんされるリスクは小さくありません

社内はLANで繋がっていますし、
レンタルサーバーの場合は、集合住宅ですから、
どこか1件のお宅が火を出すと、のきなみやられてしまう可能性が高いのです。

この件について、私の知る中で、最もわかりやすく説明されているのは、 ロリポップさんのこちらのページです。http://lolipop.jp/security/

昨年、大規模なワードプレスやムーバブルタイプの感染拡大があり、対応に追われた分、真剣な説明をされておられると思います。


ただ、頭が痛いのは、
レンタルサーバー側は、入居?サイトを全て調査し、強制的に適正に保つわけには参りません。

「危ないです勧告」をしても、無関心・無反応・無対策のサイトも多いとの調査結果も出ています。
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html


原因として、IPAは、
・ 自組織のウェブサイトに CMS が使われているという
  認識がない
・ 脆弱性がある古いバージョンの CMS を使用する危険性を
  認識していない
・ 委託先との契約終了、担当者が辞めるなどの理由で
  ウェブサイトの管理者が不在である
をあげておられます。


また、現実的には、
私が経験した 30件程度のケースのすべてが

サイト製作をした業者さんから、
安易にバージョンアップはしないよう言われており、
「バージョンアップすると、レイアウトが崩れるかもしれませんが、責任持ちません」
とのことで、怖くてバージョンアップできないという理由もあるようです。

半数が、「いつかバージョンアップしますので、お待ち下さい」
「リニューアルの費用をくださるなら、すぐに行います」

半数が、「世間で騒いでいるような危険はなく、バージョンアップしたって、リスクは変わりません」 とのご対応でした。


保守料を十分に頂けていたらやりますけど・・・
という業者さんの事情も聞こえてきそうです。


長くなりましたので、続きは、また今度ということに致しまして

とりあえずは、
● あれ?なんかヘン??に敏感に
   私の情報漏れてない?
   サイトの動きがヘン
   PCの動きが遅いとかの変化を見逃さない

● フリーのCMSをお使いの方は、バージョンチェックと利用ツールの脆弱性(ぜいじゃくせい)情報を確認

みんなで気にかけて参りましょう!








当ブログ記事に関し、
ご質問やお問合わせがございましたら、下記までお気軽にどうぞ!
 有限会社 インテリジェントパーク
 代表取締役 荒添 美穂
info@int-park.jp

コメント

コメントの投稿



管理者にだけ表示を許可する

トラックバック

http://intpark.blog116.fc2.com/tb.php/486-0e27eb6e

 | BLOG TOP | 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。