カテゴリ: 今月のヒヤリ
毎月のように不正アクセスに伴う情報漏洩が後を絶たない。
今回は、システムを構築する・サービスを提供する側の私たちが、実際の責任問題は別として、情報漏洩の加害者の一員とならないように実践すべきことを考察してみます。
ログインIDやパスワードのアカウント、氏名、住所、メールアドレス、電話番号、クレジットカード番号などのアカウントに紐付く個人情報に対して、どのようにアプローチする必要があるでしょうか。
システム要件やセキュリティ要件を決める立場の人であれば、アカウント情報をどのように安全に管理すべきかを検討する必要があるかと思います。システムやサービスごとに状況は様々ではありますが、守るべきものに最適なソリューションを提案すべきであり、提案することを怠った場合には、責任を問われても何も反論できないでしょう。あの時こうしておけばよかったと後悔をする前に、採用されるされないに関わらず、提案することは必要になってくると私は思います。
では、開発をする立場の人であればどうでしょうか。
開発時点ではシステム要件やセキュリティ要件が決まっていることもありますが、決まっていないことや検討が不十分なこともあるでしょう。そのような場合に、技術的側面から問題点を指摘できると、仮に情報漏洩が発生したとしても、問題を最小限に食い止めることができる可能性もあります。未だにSQLインジェクションによる情報漏洩の事案もあり、開発側からも指摘できる点は山ほどあります。
昨今、情報漏洩の問題が次々と発生してますが、影響や原因だけに目を向けるのではなく、対策として有効なものを担当しているシステムやサービスに取り入れて、情報漏洩の影響を最小限に食い止める動きを取った方がよいかもしれません。
システムやサービスを提供する側が満足のいくものを提供することが、システムやサービスを利用する側の満足につながると考えています。