読者です 読者をやめる 読者になる 読者になる

648 blog

kyamanekoです。IT、思想、哲学、心理学などの記事を書いています。

『個人情報漏洩させたらこうなった』でのセキュリティ対策を解説

『個人情報漏洩させたらこうなった』でのセキュリティ対策を解説

当サイトでは、『個人情報漏洩させたらこうなった』という小説を連載してきた。
(実録!の文頭はとることにした)
そこで今回は、当作品にも登場した、Webアプリケーションやサービス運営におけるセキュリティ対策について解説したい。
 

www.kyamaneko.com

おそるべき責任の大きさ

SQLインジェクション攻撃を受け、個人情報を漏洩してしまうと、経営レベルの問題となる。

matimura.cocolog-nifty.com

こちらの記事では、裁判においてSQLインジェクションのセキュリティホールを突かれたことが重過失としてみなされ、高額の賠償金支払いが命じられた判例について解説されている。

1 被告は,原告に対し,2262万3697円及びこれに対する平成23年10月15日から支払済みまで年6分の割合による金員を支払え。

恐ろしすぎる・・

こんなリスクを負わないために、どんなことが考えられるだろうか。

技術的なセキュリティ対策

まずはこちらをしっかり読もう。

www.ipa.go.jp

上記を補足する形で技術的な対策を紹介したい。

1.プリペアドステートメントの利用を徹底

特に、SQLインジェクションへの対策については、プリペアドステートメントの利用が効果的だ。

とはいえ、プリペア=セキュリティ対策とは言い切れないことにも注意が必要だ。

プリペア機構は文字列のエスケープなどをやってくれるが、基本的には「処理の高速化・効率化」のために実装されているものであり、必ずしもセキュリティ対策のために用意された機構ではない。

ライブラリやフレームワーク側のプリペア機構にセキュリティホールなどがあることも想定し、十分検証してから使いたい。

2.機械的な文字列チェック

DBに渡す値や、あるいは全てのWebパラメータを、機械的に文字列チェックする対策も考えられる。

例えば、MySQLでは「information_schema」というデータベースで、全データの構造を管理しており、アタッカーはこの「information_schema」を解析しようとしてくることが多い。そこで単純に、パラメータ内に「information_schema」という文字列を検知した場合にプログラムをブレークする、という処理だけでも、効果的な対策になる。

合わせて、Webパラメータの内容について、アタックパターン文字列を検知するロジックを入れ、ブロックおよび通知する機構を入れると、アタックを止められるチャンスが増える。(UNIONや一部のSQL関数などの、アタックでよく使われる文字列を検知するわけだ)

3.Webアプリケーション脆弱性診断

専門業者に診断を依頼する方法が確実だ。

ウェブアプリケーション脆弱性診断|シマンテック

NTT東日本「Webセキュリティ診断」

とはいえ、プログラム更新のたびに実施するのはコストがかかりすぎる。
そこで、以下のOWASP ZAPという脆弱性診断ツールを使って、無料で実施することもできる。

OWASP ZAPではじめる2016年のウェブアプリケーションセキュリティ:新春特別企画|gihyo.jp … 技術評論社

技術的ではない部分でのセキュリティ被害への対策

セキュリティ被害の対策は、技術的なものだけではない。
教科書的なセキュリティ対策以外にも、以下のような企業防衛を考慮すべきだと思う。

1.保険への加入

小説『個人情報漏洩させたらこうなった』でも言及しているが、世の中にはサイバーテロに被害に対する保険が存在する。

通常の損害保険ではまかないきれない、個人情報漏洩の賠償などもカバーする保険への加入を検討するのもいい。

進化する「サイバーセキュリティ保険」、中小企業も加入するその理由とは? - さくらのナレッジ

2.契約関連

契約の段階で、契約書における免責事項や責任上限に注意する必要がある。

重過失となるような問題を起こした場合は、契約書を超える責任が発生するが、基本的には契約書の条項が重視されることに変わりはない。

3.セキュリティ対策についての提案

プロジェクト進行において、顧客に対して日頃からセキュリティ問題のリスク喚起を行いたい。

第三者機関によるセキュリティ診断の実施や、セキュリティ対策のためのシステムアップグレードなどを提案していくことで、いざというときに業者側の責任が低減されることがある。

4.クレーム対応の準備

いざセキュリティ被害が起こってしまったとき、クレーム対応が非常に大変だ。
社内で対応するにも回線がパンクするし、スタッフの体がもたいない。

日頃からコールセンターサービスをみつくろっておき、かつ、IP電話での回線増設なども検討しておきたい。

まとめ

今回は、小説『個人情報漏洩させたらこうなった』でも登場した、様々なセキュリティ被害への対策方法について説明した。

www.kyamaneko.com

参考になりそうなことがあったら、ぜひ検討・実践して頂ければと思う。
この世からサイバーテロがなくなることを祈って・・




Amazon.co.jpアソシエイト