人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

レンタルサーバ上に携帯サイトを作り、社員がよく参照する業務上の情報(顧客情報以外)を置き、出先からアクセスできるようにしているのですが、このようなサイトのセキュリティ対策は、どの程度行えば十分と言えるのか教えていただけないでしょうか。

●質問者: adan
●カテゴリ:ビジネス・経営 コンピュータ
✍キーワード:アクセス サイト セキュリティ レンタルサーバ 携帯サイト
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● esecua
●10ポイント

http://www.kent-web.com/pwd/pwmgr.html

PasswordManager

第三者にアクセスされてはまずいので認証システムを作成し認証済みのユーザーのみ観覧を許可する必要があると思います。


一番簡単な方法としてBASIC認証があります。各ユーザーにIDとパスワードを配布しておけば決まった者しか観覧できません。又トップページなを作成しておけばいつ誰がアクセスしたかも判ると思います。

http://www.hatena.ne.jp/1101924398

人力検索はてな - 携帯用のサイトを作っていますが、i-mode、EZで Basic認証をつかったページを設けています。 このBasic認証部分をVodafoneでも共通のものをつかいたいですが、Basic認証に..

◎質問者からの返答

ありがとうございます。

一応、現在は、1組のユーザ名とパスワードで全ての社員がアクセスできるようにしており、アクセスのログは記録を取っています。ただ、セキュリティ対策がこれで十分かどうかを判断する基準

がいまいちわからないので、それを教えていただけると助かります。


2 ● kodomono-omocha
●10ポイント

http://www.pig.com/

pig.com - Pigs info.

>>1組のユーザ名とパスワードで全ての社員がアクセスできる


やばいと思います。というか、やばすぎます。情報セキュリティーの観点から、それはセキュリティーとは程遠い状態です。

はっきり言って崖っぷちです。


セキュリティーと利便性は相反します。

容易に使える→容易に漏れる


アクセスログを見ただけでは、社員が携帯を買い換えたのか、不正侵入されているのか分かりません。しかもその時点で終わっています。


>>セキュリティ対策がこれで十分かどうかを判断する基準

イタチごっこなので客観的にこれで十分と言う基準は難しいです。ですので、利便性と予算と情報の内容を考慮して主観で決めます。

基準は自分で決めるもので、人に言われて決めるものではありません。


絶対に漏洩から守りたいのならば、完璧に非公開にするしかありません。

どうでも良いならWebで公開しちゃってもかまいません。

セキュリティーとしてその中間をとるわけですが、具体的にどのあたりに設定するかは情報の重要度次第です。


しかしながら、セキュリティーは最低でも性悪説で考えるべきです。性善説で考えるならば、そもそもセキュリティー対策は必要ありません。

◎質問者からの返答

ありがとうございます。

ただ、「セキュリティーと利便性は相反する」ということや、「基準は自分で決めるもので、人に言われて決めるものではない」ということは理解しているつもりです。

少し私の質問を言い換えると、セキュリティ対策の基準を決めるための具体的材料や決め方、事例、前例を教えていただけないでしょうか、ということになります。


3 ● たも
●40ポイント

http://www.ciojp.com/contents/?id=00001532;t=24

セキュリティ対策はどこまで行うべきか | リスク管理からインシデント・レスポンスまで - CIO Online

リスクを評価することから始めなくてはなりません。たとえば


(0) 攻撃された (成功しなくても)

(1) データが消えた、システムが機能しなくなった、遅くなった

(2) データが改竄された

(3) データを見られた (外部の人に)

(4) データを公開された


というような問題が起こりますよね。それぞれ


(a) 問題発生に気付かない

(b) 問題を起こした人を特定できない

(c) 問題を起こした人に責任を負わせられない


とか


(d) 問題を解決できない

(e) 問題解決にかかるコストが高い

(f) 問題解決にはシステムの機能を減らす必要がある


などなど、いろいろなケースが考えられます。


全員で使えるパスワードを設定すれば、

(1)(2)(3)(4) を「ある程度」防げますが、それだけだと

もし起こった場合に (a)(b) あたりはイマイチです。


でも (b)(c) のために全員それぞれ違うID/パスワードを

設定すると不便ですし、管理者の手間 (つまり賃金)

というコストもあるわけです。それで、(0) から (4)

までと (a) から (f) まで (あるいはもっといろいろ)

の表に、発生したときの損害を書き込んでみて、それが

コストと見合った額かどうかを判断することになります。


完璧を目指すなら


(0) 対策: 毎日サーバを替える、システムの存在を極秘にする。

(1) 対策: 堅牢なサーバを使う、毎時間バックアップをとる

(2) 対策: 書き込み権限を極度に制限する、リモートからは書き込み不可、

変更点はすべて決裁が必要にする、毎日変更点を書類にしてバックアップと照合

(3)(4) 対策: パスワードを毎日変更する、

暗号や特殊クライアントソフトがないと読めないようにする。


などなど、とっても不便になってしまいます。ですから、

どこまでやれば「十分」なのかは、当事者が計算しないとわかりません。


なお、「顧客情報以外」とありますので、

間違って顧客情報が混入してしまわないようにする仕組みを作ったり、

混入してしまったらどうするか、ということも考えなくてはなりませんね。


あー、面倒くさい。(^^;

◎質問者からの返答

わかりやすい回答ありがとうございました。

非常に参考になりました。


4 ● papanaru
●10ポイント

http://www.yahoo.co.jp/

Yahoo! JAPAN

URLはダミーです。


システムを作成する側から言うと、どうしても質問の「どの程度行えば十分」というのが引っかかります。

セキュリティ対策はどこまでやっても十分とはいえないのです。


とはいえ、実用的に考えると、まず第一に考える必要があるのは、最悪それを第三者から見られても、まずくない情報を載せることです。


見られてまずい情報を載せるのであれば、

かなり慎重にする必要があります。

現状の「1組のユーザ名とパスワードで全ての社員がアクセスできる」は論外です。

最低レベルで「ユーザごとのID,パスワード認証」です。


また、ログを取っていたところで、情報が漏れてしまって信用を失ったら、ほとんど意味がないです。犯人が見つかっても信用の回復はできません。


「基準は自分で決めるもので、人に言われて決めるものではない」と言われているのは、感覚的にあれとこれとそれとをしているから大丈夫ではないかということで決めていることが多いからでしょう。


質問を次のようにしたほうがいいかもしれません。

「セキュリティ対策にはどんなことがありますか?実施することが楽な順に教えてください。」そのなかで会社のサイズや漏れてまずいレベルで切り分けをすればいいのではないでしょうか?


「決め方、事例、前例を…」というのはとても答えにくいと思います。

◎質問者からの返答

ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ