本当に知識が足りなくてレベルの低い質問で申し訳ありませんが、誰か詳しい方いたら教えていただきたいです。。
>顧客情報漏出防止などのための独自認証SSL
SSLには二つの役目がある。
ひとつはあなたのサイトと顧客のパソコン(携帯)の間の通信を第三者が盗み見しても通信の内容が暗号化してあれば盗まれることはないようにしておく。
もうひとつはあなたのサイトと同じサイトをあなた以外の人によって作られた場合にどちらが本物のあなたのサイトであるか証明してくれるようにしておく。
暗号化するということに関して言えば独自認証SSLでなくても共用SSLでも暗号化できるし実際の盗聴もそれでおおむね防ぐことができる。
ただ、第三者のなりすましについては防ぎようがないので独自認証SSLにして置いた方が絶対に良い。
偽サイトをあなたのサイトだと思って顧客がそのサイトに個人情報を書き込んでしまうことを防ぐためにも。
携帯電話の場合は接続元のIPアドレスも明示されてますし、固体識別番号で携帯電話を特定できますので、パソコンからのアクセスにくらべれば心配はありません。
ネットで登録する人の中でSSLかどうかを気にしている人は実は一握りです。
ここまでだと「なくてもいい」と判断してしまいそうですが、それは御社のセキュリティ(ひいては顧客に対しての保全)に対する姿勢次第となります。
高いといっても月額にすれば3千円程度ですから、商売としての経費としては「どこが高いんだ?」というレベルです
http://jp.globalsign.com/service/ssl/quickssl.html
それでもやはり最初は安くしておきたいということならば、
共用SSLの使えるサーバーを借りれば、全体的に安くできますので、検討してみるといいでしょう。
顧客ひいては御社のためにも、通信時の漏洩だけでなく、サーバーで情報を保持しないシステムの導入も考慮してください。
(1)登録投稿された時点でIDを発行し、登録内容は暗号化してメールでローカルのパソコンにて受信するようにする
(2)サーバー上でのやりとりはIDだけで管理する
このようにすれば、IDが漏洩して不正アクセスされたとしても、個人情報の漏洩は防げます
もちろん、ローカルのデータは誰にも触らせないように厳重にロックしておく必要がありますけどね
余計な話もしてますが理解してほしいと思います
そうですね。顧客情報は必ず守る姿勢でいないとダメですよね。いろいろなことに経費がかかってしまって大事なとこを省いてしまいそうでした。
ありがとうございます!
(独自認証)SSLというのは、インターネット(携帯電話を含む)で通信している経路を暗号化し、通信路上から情報漏洩を防ぐための手段のひとつです。つまり、いくつか開いている穴のひとつを塞ぐことしかできません。
現実の情報漏洩経路としては、この他に、保管している個人情報が、紙やUSBメモリ、ノートPCを介して漏洩するケースが圧倒的に多い。
SSL以外にも、いろいろな経路から漏洩する可能性があります。まずは、IPAが配布している「情報漏洩対策のしおり」をご覧ください。
もちろんSSLには意味がないわけではありません。
セキュリティに対する啓蒙が進んでいるので、SSLでないサイト(https://で始まらないサイト)には個人情報を入力しないユーザーも多いのです。
ユーザーの個人情報漏洩に対する警戒も強いということですね。なおさら必要ですね。少なくともSSLくらいはしておいた方がいいですね。
ありがとうございます。
URL付きでわかりやすかったです。
ありがとうございました!
すごくわかりやすいご回答ありがとうございました!!