個人情報漏えいは“SSL”で防ぐ!Webコンサルタントが教える、企業の情報セキュリティ対策
皆さんの企業では、個人情報漏えいの対策はきちんとされていますか。
「ウイルス対策ソフトをすべてのパソコンに入れているから大丈夫!」と思っている方、情報を社外に漏らさないためにしなくてはならないのは、ウイルス対策ソフトの導入だけではありません。情報を暗号化するための「SSL」も、企業の情報を守るためにはとても大事なのです。
今回は、数々の会社のWebコンサルティング業務を行ってきた、Webコンサルタントの坂上哲也さんに、企業の個人情報漏えい対策で見逃しがちなポイントを、「SSL」という観点から教えていただきました。社内の情報を守るための知識が詰まっているので、ぜひ参考にしてみてください。
SSLってなに?
SSLとは、「Secure Sockets Layer」の略で、インターネット上でやり取りされる情報を暗号化する技術を指します。
インターネットの世界において、私たちは、網の目状に張り巡らされた通信網を使って情報のやり取りをしています。情報を盗もうと悪さをする人は、情報を盗むために何をするか。網の結び目を意図的に作り、既にある無数の結び目に紛れさせることによって、そこから情報を抜き取っているのです。
無数の結び目の中から、ニセの結び目を見つけることは至難。したがって私たちは、インターネットが「どこで誰が情報を盗み見ているのか分からない危険な世界」だということを理解しておく必要があります。そんな世界で必要になるのが、SSLです。
Webサイトのお問い合わせフォーム等をSSL化しておけば、もし入力した情報が奪われても、暗号化されているので、大事な情報が外部に流出する危険性は少なくなります。SSL化の方法は、レンタルサーバーを利用している場合、SSL認証書を買って発行し、サーバーに設定してもらうだけという簡単なもの。ただし、価格が年間7~8万円もする高価なものを導入しなければいけないケースが多く、対策をしていない企業が意外とあるのだそうです
個人情報が流出してしまえば、7~8万円の損失では済みません。きちんと対策しておくようにしましょう。続いては、SSLに関連させて、社内でチェックしておくべき、情報流出が起こりやすいポイントを紹介します。
「顧客情報の管理」からの情報流出が意外と多い
坂上さんがコンサルティングを行ってきた中で、企業の対策がきちんとできていないポイント。それは、「顧客情報の管理」です。本来であれば、1番きちんと対策をしなくてはならない顧客情報が、なぜできていないのでしょうか。問題となるポイントを2点に分けて説明します。
問題1.顧客情報のアクセス権限が限定されていない
1つ目の問題として、ネットショッピングサイトを運営していて、管理システムの顧客情報にアクセスできる人を限定していない企業が多いことが挙げられます。
顧客情報は、社内の人全員が見る必要があるかというと、そうではありません。実際には、商品の発送手続きをする人や、顧客と連絡を取る人など、情報が必要な人は限られています。顧客情報を流出させる原因となるのは、「情報を管理している意識の薄い人」である場合が多いことを考えると、情報のアクセス権限は最小限にとどめておくのが一番なのです。
ネットショッピングサイト管理システムの顧客情報にアクセスできる権限は、自由に設定できるようになっているものも多いので、まずはこの設定を行うようにしましょう。
問題2.暗号化されるのは、SSL化されたページと閲覧している端末間だけ
SSL化を行い、顧客情報を暗号化することもとても重要です。
ただし、SSL化を行う際に、大きな落とし穴となるポイントがあることをお伝えしましょう。それは、「顧客情報が送られる先の電子メールが、暗号化されていない」ということです。
どういうことか、詳しく説明しましょう。
顧客情報を入力するページについては、SSL化を行う必要があることは、皆さんもお分かりでしょう。しかし、登録された情報は、入力したページではなく、別のシステムで保管されることを忘れてはいけません。この部分ができていない企業がとても多いのです。顧客情報が、担当者の電子メールアカウントに送られる設定になっている場合、パソコンのメールソフトで受信した顧客情報は暗号化されていないのです。
SSL化されたページのURLは、「http://~」ではなく「https://~」のように、「s」が付いています。顧客情報の入力ページだけでなく、登録された情報が最終的にどこに送られ、どこで保管しているか確認するようにしましょう。
SSL化を行うことで、検索順位も上がるかも!?
SSL化を行うことは、セキュリティ対策以外の面でも重要になってきています。
Googleは、WebサイトのすべてのページをSSL化させることを推奨しています。これが何を意味するかというと、「将来的に、SSL化を行っているページが優先的に上位に表示される」可能性が非常に高くなるということです。ユーザーの利益を考えると、それは当たり前の話。自分の打ち込んだ情報が読み取られてしまうページなど、見たくないからです。
情報セキュリティ対策は、企業の利益とは関係のない「守り」の分野だと思われがちですが、検索ページが上位に表示されるかどうかは、企業の利益を大きく左右するもの。SSL化がまだ行えていない企業は、サイト全体のSSL化を検討してもよさそうです。
重要だけど、意外とできていないSSL。あなたの会社は大丈夫?
SSLは、企業が情報セキュリティの対策をする上の基本であるとともに、情報を盗もうとする人にとっては、きちんとした対策ができていない抜け穴にもなっているのです。
今回の記事を読んで、「うちの会社はちゃんとできるのかな…?」と不安になった方は、SSL化がきちんとできているか確認し、これを機に情報セキュリティ対策を見直してみてはいかがでしょうか。
―――――――――――――――――――――――――――――――――――――――――――――――――――――
監修:坂上哲也(Webコンサルタント)
建築士として起業後、インターネット日本上陸を機にIT導入支援コンサルティング会社設立。 インターネット黎明期よりSEOやアクセス解析を始めとするWebマーケティングに取組み、 独自の経営視点も併せ中小企業および店舗のための勝てるウェブ戦略立案が主業務。
http://sakagami.org