レンタルサーバ上に携帯サイトを作り、社員がよく参照する業務上の情報(顧客情報以外)を置き、出先からアクセスできるようにしているのですが、このようなサイトのセキュリティ対策は、どの程度行えば十分と言えるのか教えていただけないでしょうか。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/01/30 15:41:48
  • 終了:--

回答(4件)

id:esecua No.1

esecua回答回数510ベストアンサー獲得回数102006/01/30 16:05:30

ポイント10pt

第三者にアクセスされてはまずいので認証システムを作成し認証済みのユーザーのみ観覧を許可する必要があると思います。


一番簡単な方法としてBASIC認証があります。各ユーザーにIDとパスワードを配布しておけば決まった者しか観覧できません。又トップページなを作成しておけばいつ誰がアクセスしたかも判ると思います。

http://www.hatena.ne.jp/1101924398

人力検索はてな - 携帯用のサイトを作っていますが、i-mode、EZで Basic認証をつかったページを設けています。 このBasic認証部分をVodafoneでも共通のものをつかいたいですが、Basic認証に..

id:adan

ありがとうございます。

一応、現在は、1組のユーザ名とパスワードで全ての社員がアクセスできるようにしており、アクセスのログは記録を取っています。ただ、セキュリティ対策がこれで十分かどうかを判断する基準

がいまいちわからないので、それを教えていただけると助かります。

2006/01/30 16:34:11
id:kodomono-omocha No.2

kodomono-omocha回答回数406ベストアンサー獲得回数62006/01/30 17:03:42

ポイント10pt

http://www.pig.com/

pig.com - Pigs info.

>>1組のユーザ名とパスワードで全ての社員がアクセスできる


やばいと思います。というか、やばすぎます。情報セキュリティーの観点から、それはセキュリティーとは程遠い状態です。

はっきり言って崖っぷちです。


セキュリティーと利便性は相反します。

容易に使える→容易に漏れる


アクセスログを見ただけでは、社員が携帯を買い換えたのか、不正侵入されているのか分かりません。しかもその時点で終わっています。


>>セキュリティ対策がこれで十分かどうかを判断する基準

イタチごっこなので客観的にこれで十分と言う基準は難しいです。ですので、利便性と予算と情報の内容を考慮して主観で決めます。

基準は自分で決めるもので、人に言われて決めるものではありません。


絶対に漏洩から守りたいのならば、完璧に非公開にするしかありません。

どうでも良いならWebで公開しちゃってもかまいません。

セキュリティーとしてその中間をとるわけですが、具体的にどのあたりに設定するかは情報の重要度次第です。


しかしながら、セキュリティーは最低でも性悪説で考えるべきです。性善説で考えるならば、そもそもセキュリティー対策は必要ありません。

id:adan

ありがとうございます。

ただ、「セキュリティーと利便性は相反する」ということや、「基準は自分で決めるもので、人に言われて決めるものではない」ということは理解しているつもりです。

少し私の質問を言い換えると、セキュリティ対策の基準を決めるための具体的材料や決め方、事例、前例を教えていただけないでしょうか、ということになります。

2006/01/30 17:47:37
id:ttamo No.3

たも回答回数175ベストアンサー獲得回数292006/01/30 18:06:31

ポイント40pt

http://www.ciojp.com/contents/?id=00001532;t=24

セキュリティ対策はどこまで行うべきか | リスク管理からインシデント・レスポンスまで - CIO Online

リスクを評価することから始めなくてはなりません。たとえば


(0) 攻撃された (成功しなくても)

(1) データが消えた、システムが機能しなくなった、遅くなった

(2) データが改竄された

(3) データを見られた (外部の人に)

(4) データを公開された


というような問題が起こりますよね。それぞれ


(a) 問題発生に気付かない

(b) 問題を起こした人を特定できない

(c) 問題を起こした人に責任を負わせられない


とか


(d) 問題を解決できない

(e) 問題解決にかかるコストが高い

(f) 問題解決にはシステムの機能を減らす必要がある


などなど、いろいろなケースが考えられます。


全員で使えるパスワードを設定すれば、

(1)(2)(3)(4) を「ある程度」防げますが、それだけだと

もし起こった場合に (a)(b) あたりはイマイチです。


でも (b)(c) のために全員それぞれ違うID/パスワードを

設定すると不便ですし、管理者の手間 (つまり賃金)

というコストもあるわけです。それで、(0) から (4)

までと (a) から (f) まで (あるいはもっといろいろ)

の表に、発生したときの損害を書き込んでみて、それが

コストと見合った額かどうかを判断することになります。


完璧を目指すなら


(0) 対策: 毎日サーバを替える、システムの存在を極秘にする。

(1) 対策: 堅牢なサーバを使う、毎時間バックアップをとる

(2) 対策: 書き込み権限を極度に制限する、リモートからは書き込み不可、

変更点はすべて決裁が必要にする、毎日変更点を書類にしてバックアップと照合

(3)(4) 対策: パスワードを毎日変更する、

暗号や特殊クライアントソフトがないと読めないようにする。


などなど、とっても不便になってしまいます。ですから、

どこまでやれば「十分」なのかは、当事者が計算しないとわかりません。


なお、「顧客情報以外」とありますので、

間違って顧客情報が混入してしまわないようにする仕組みを作ったり、

混入してしまったらどうするか、ということも考えなくてはなりませんね。


あー、面倒くさい。(^^;

id:adan

わかりやすい回答ありがとうございました。

非常に参考になりました。

2006/01/31 09:44:56
id:papanaru No.4

papanaru回答回数5ベストアンサー獲得回数02006/01/30 21:49:52

ポイント10pt

URLはダミーです。


システムを作成する側から言うと、どうしても質問の「どの程度行えば十分」というのが引っかかります。

セキュリティ対策はどこまでやっても十分とはいえないのです。


とはいえ、実用的に考えると、まず第一に考える必要があるのは、最悪それを第三者から見られても、まずくない情報を載せることです。


見られてまずい情報を載せるのであれば、

かなり慎重にする必要があります。

現状の「1組のユーザ名とパスワードで全ての社員がアクセスできる」は論外です。

最低レベルで「ユーザごとのID,パスワード認証」です。


また、ログを取っていたところで、情報が漏れてしまって信用を失ったら、ほとんど意味がないです。犯人が見つかっても信用の回復はできません。


「基準は自分で決めるもので、人に言われて決めるものではない」と言われているのは、感覚的にあれとこれとそれとをしているから大丈夫ではないかということで決めていることが多いからでしょう。


質問を次のようにしたほうがいいかもしれません。

「セキュリティ対策にはどんなことがありますか?実施することが楽な順に教えてください。」そのなかで会社のサイズや漏れてまずいレベルで切り分けをすればいいのではないでしょうか?


「決め方、事例、前例を…」というのはとても答えにくいと思います。

id:adan

ありがとうございます。

2006/01/31 09:45:27

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません