セキュリティー対策をしよう!

Comic5月 02 2017セキュリティー対策をしよう! はコメントを受け付けていません

blog08-1

「『SSL』とはセキュア・ソケッツ・レイヤー(Secure Sockets Layer)の略です。3文字に用語を略すパターン多いですね。インターネットでお客様と企業が個人情報をやり取りする時、関係ない人に見られても大丈夫なように暗号化する仕組みです」
「うんうん、それな」
けんじさんは知ってたで、という顔でうなずいています。
「ではけんじさん、この『SSL』に関係している『SSLサーバ証明書』とは?」
「そら証明書やから証明しとんのやな!」
「何を?」
「うちが!立派な!企業やと言うことをや!」
その堂々たる胸の張りっぷりはさすが社長の貫禄と言った所です。
「……まぁあながち間違ってはいません。SSLをサイトに導入するには、「認証局」という所に頼んで『SSLサーバ証明書』を発行してもらう必要があります。サイト経営者が認証局に発行を頼むと、認証局はこのサイトを経営している企業が実在しているかどうかを調べます。SSLでせっかくデータを暗号化しても、相手が実在しない偽企業だったら意味ないですからね。というわけで、SSLサーバ証明書を持っているサイトというのは個人情報を暗号化、かつ実在の証明までを行っているサイトなわけです」
「ええこっちゃ」
「次はお客様が実は悪者だった時に企業が身を守る方法ですね」
「敵に備える訳やな」
一国一城の主たるけんじさんは真剣な顔でホムペくんを見ています。
「まずは『ファイアーウォール』です。訳すと『防火壁』ですね。このファイアーウォールでこちらが『こういう奴が怪しい』と設定しておくと、それに当てはまるお客様とやり取りする前にシャットダウンする事が出来ます」
「これで完璧!」
「いやまだです」
「まだか!」
「ファイアーウォールで防げるのは『怪しいお客様』までですね。『普通のお客様』と安心した相手がヤバいデータを送り込んでくる可能性もある訳です」
「敵もさるもの……」
「悪者もどんどん進化しています。で、ファイアーウォールだけでは対処できない部分をカバーするための仕組みが、IDSやIPSと呼ばれるものです」
「『普通のお客様の送り込んでくるヤバいデータ』に対応する仕組みってこと?」
「その通りです。IDSは イントルージョン・デテクション・システム(Intrusion Detection System)、訳すと『侵入検知システム』。ヤバいデータを見つけたら知らせてくれます。警報みたいなものですね。もう一つがIPS、イントリュージョン・プリベンション・システム(Intrusion Prevention System)、訳すと『侵入防御システム』。これはヤバいデータを防ぐ所までやってくれます。こちらは警備員って所でしょうか」
「防火壁と、警報と、警備員な。なんか頼もしいなぁ」
「そうですね、ここまではレンタルサーバーを使っていると最初から導入してある事もあります」
「ふんふん…うちの借りてるサーバーやと、確かにもうこの3つは入ってるみたいやわ。じゃあこれ以上何もせんでええのんか?」
「そんな事はありません。というより、セキュリティー対策でここまでやれば絶対大丈夫ということは無いんです。さっきも言ってましたけど、敵もどんどん進歩してる訳ですから。だから、ひとまず今、自分たちがWEBサイトでやりたい事に対してどれ位のレベルの対策が必要か。それを調べて自分たちのセキュリティーに対する考え、『セキュリティーポリシー』を最初に決めてしまうべきですね」
「なるほどなぁ…」
「まずはこちらのサイトで自己判断してみてください。IPA(情報処理推進機構)という所が作っている自己診断テストです。http://www.ipa.go.jp/security/benchmark/
「おお、そんなものが。……それにしても、とりあえず自分の市場を作るのにばっかり目が行って、それを守る対策がおろそかになってたのがよう分かったわ」
「すぐに結果が出るものではないですから。でも、攻撃を受けて被害が出てしまった時にその責任を負うのは企業です。お客様と自分たちを守るために、備えは常にしておかないといけませんね」
「ほんまやなぁ……」

blog08-2