クレジットカードをデータベースに保存する必要のあるサービス(想定サービス:amazon.co.jp)を運営する場合に、これは絶対にやるべきだ、というセキュリティ上必須項目を教えて下さい。以下にあげた項目以外で教えて下さい。


・クレジットカード番号送信フォームはHTTPSにする。
・クレジットカードは暗号化してデータベースに保存する。
・クレジットカードと一意となるIDのセッションはログイン毎に変更する。
・複合化キーも盗聴・盗難されないように注意する。
・データベースサーバーとウェブサーバーは分離して、データベースサーバーはネットから接続できない場所に設置する。
・そもそもクレジットカード番号は保持せず、決済業者がもつ暗号化キーで保存する。

回答の条件
  • 1人2回まで
  • 登録:2008/06/14 00:23:09
  • 終了:2008/06/19 13:45:00

ベストアンサー

id:tukihatu No.1

牛乳先生(tukihatu)回答回数180ベストアンサー獲得回数322008/06/17 13:43:38

ポイント60pt

素人ながらですが、システム面ではおそらくこれぐらいでいいと思います。

システムで後思いつくものは

・クレジットカード番号送信フォームからの攻撃をブロックするプログラムを埋め込む

・あやしいアクセスを見つけたらIPをブラックリストに載せるor通報

・ログを監視する機能をつける

ぐらいですか…


個人的な意見かもしれませんが、

システム側からアタックを受けて引き抜かれることより、もっと怖いのは人かと。


なので以下も対応する必要があると思います。

・データサーバはサーバルームに隔離、入るのには上長、社長の許可が必要

・データサーバのパスワードは毎回変えるorUSBキーとかを用意する

・データサーバを触ったときはログをとる

・バックアップサーバがある場合も同様に気をつける

・必要以上にサーバに機能を入れない(メールとか)

・個人PCを会社に持ちこまないorどんなことがあろうとデータをコピーしない

・作業者に、危険度をきちんと理解してもらうor誓約書を書かせる

・あやしげなサイトや、メールのワンクリックは要注意


ニュースを見ればわかるように、個人PCからの流出頻度が多くなっています。

システムが完璧でも油断はできない、というところです。


http://femt.ddo.jp/modules/bwiki/index.php?%BC%AB%C2%F0%BB%AA%B7...

id:logihot

お礼遅くなり申し訳ないです。大変参考になります。デジタル的な部分に目が行きがちですが、アナログ的な部分も大切ですね。コメントのサイトも参考にします!

2008/06/19 13:44:47
  • id:tukihatu
    追加でこれもどうぞ。(最近公開されたものです)
    http://www.ipa.go.jp/security/vuln/7incidents/index.html

    1. 電子メールの誤送信
    2. クロスサイト・スクリプティング
    3. SSL(Secure Socket Layer)サーバ証明書の期限切れ
    4. ウイルス感染
    5. サービス運用妨害 (DoS: Denial of Service)
    6. セッション管理の不備
    7. SQL(Structured Query Language)インジェクション

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません