インターネット上の情報は丸見えであることを多くの人は知らない

お客様から届くお問い合わせや、資料請求の依頼には、お客様の個人情報が含まれている。

これらの個人情報の保護は、道義的にも法的にも不正利用や漏洩につながらないように、適切に管理しておかねばならない。

ところが、これだけ多くの一般人がインターネットを使っているにも関わらず、インターネットを介して送信される情報について、何も対策を施していない場合は「はがき」と同じで、その内容が丸見えになっていることを知っている人は少ない。

e-メールは、「封書」のイメージがあるが、実は「はがき」と同じで送信経路においてはその中身は丸見えになっている。

お問い合わせフォームや、ネットショップでの購入時にカード番号や住所等を入力する画面の情報も、対策を実施していないページで入力すれば、その情報は「はがき」と同じく丸見えになっている。

恐ろしいことに、一般の人の多くは、この事実をほとんど知らないようだ。

利用者の立場で注意すべきこと

ネットの問い合わせフォームや、カート画面で自分の個人情報やクレジットカード番号等を入力するとき、最低限気をつけておきたいことを3点だけ記載しておく。

https:// から始まるページ??

お問い合わせフォームや、ネットショップの購入者情報入力画面などで、カード番号、個人情報等を入力する場合、http:// で始まる通常のページの場合は「対策が施されていない」ページであるので、「はがき」と同じく、情報伝達経路においては、入力、送信された情報が丸見えになっていると認識する必要がある。

もちろん、「別に漏洩しても構わない」と考えるのであれば、リスクを受容して利用すればよい。

だが、多くの人たちは、できれば秘匿したいと考えるはずだ。

そこで、各種フォーム入力画面においては https:// から始まるサイトなら、「暗号化」されており、情報伝達経路では保護され、「封書」のようになる。

URL

 

鍵のマークはついている??

同時に、このURL表示欄で、ちゃんと閉じた鍵のアイコンがついているかを見ておく必要がある。

URL-rock-icon

鍵に斜線が入っていたり、鍵が開いているアイコンの場合は、なりすましなどの可能性があるので、避けた方が無難だ。

なお、このアイコンの種類は、使用しているOS、ブラウザソフトなどによって異なるので、気になる人は以下のページでチェックするとよい。

【参考サイト】WEBとかのメモブログ「各ブラウザSSL通信画面。そして「鍵マーク」がちゃんと表示されない時の対処方法」

 

ドメイン名は変なところになっていない?

一番見落としがちなのがこれ。

いわゆる「フィッシング」を行うための「なりすまし」サイトの場合、微妙に一文字だけ異なるURLになっていたり、URL表示欄に入りきらない長いものになっていたりする。

たとえば、「https://www.something4.jp/」 のサイトにアクセスしているつもりが、「http://www.samething4.jp/」 のように、一字異なるURLになっていたり、
「http://www.something4.jp.——————————————————————–.hogehoge.com/*****」

と、ドメイン部分が、www.soimething4.jp で終わらず、しかも、ブラウザのURL欄をはみ出すほど長いURLになっていて、よく見ると全く異なるドメインになっているなんてことがある。

こうした自分が入力しようと思っていたウェブサイトと、入力しようとしたウエブサイトで、ドメインが異なる場合は、フィッシング目的などのなりすましサイトである可能性もあるので注意が必要だ。

ただ、小規模事業者の運営するネットショップなどでは、自社のドメインでは情報入力を行わず、外部事業者の入力画面を使うこともあるので、ドメインが異なるからフィッシングとは限らない。

入力しようとしている画面のドメインが本当に安心して利用できるか?を判断せねばならないということだ。

その方法は実は非常に難しい。

情報の一つとしては、上記の鍵マークを(W)クリックすると、そのサイトの所有者についての情報が表示されるので、信頼性のあるサイトかどうかを判断する一つの手段にはなる。(でも絶対ではない)

URL-certified-icon

 

ホームページオーナーの立場で注意すべきこと

ユーザーに安心して利用してもらうためには、入手した個人情報を適切に扱うための仕組みを構築しなくてはならない。

以下、実施すべき内容をまとめておく

個人情報保護方針、規定、手順を定める

きちんとするためには、個人情報の取り扱いについては、その手順やルールを明確に定めることが必要になる。

自社で扱っている(入手、保存、利用している)個人情報には、どんなものがあり、どこに保存され、誰がどうやって入手し、取り出され、どのように利用されているのか。

まずは現状を調べて明確化し、標準化を行う必要があるのだ。

標準化の時、個人情報をどうやってメンテナンスされ、どうやって廃棄されるのかなども、すべて文書で定めなくてはならない。

文書化されていない手順、方法では個人情報にアクセスしてはいけないし、入手してもいけないということだ。

そして、こうしたITとは関係のない部分を含めて、個人情報保護についての基本的な考え方、ルール、手順を定めておかないと、どんなにすばらしい情報システムや、セキュリティ対策ソフトを導入しても、個人情報を守ることはできない。

いかにすばらしいツールを持っていても、こうした内容が定まっていない限り、道具に魂が入らず、本来の力を発揮できないからだ。

 

しかし、多くの企業と何らかのおつきあいがあるが、こうした手順をい明確化し、きちんと管理している企業は圧倒的少数派でしかないのが現状だ。

現場の暗黙知や、暗黙のルール、善意によって、日本の個人情報は守られているということだ。

それはそれで、海外では考えられないモラルの高さというか、すばらしいことなんだと思う。

 

しかし、こうした状況では、たった一人の悪意ある人物の登場や、ちょっとしたミス、手違いによって、重大な個人情報漏洩事故につながる可能性がある。

個人情報保護対策とは、それほどやっかいで面倒なことなのである。

 

ホームページでは、自社ドメインの独自SSLを使え!(共有SSLは使うべきではない)

サイトのオーナーとしては自社のドメインで、閉じた鍵のアイコンの出る画面を用意しておくことが望ましい。

上述のように、多くのユーザが、SSL通信をされているサイトでないと危険だとは認識していないので、「別にいいやん」という考え方をする人がいる。

それはリスクを査定し、自社にとっては受容すると判断したのだから、構わないだろう。

しかし、個人情報保護に対して神経質なユーザーも存在する。

そして、なによりも、ユーザがどう感じているかどうかは別にして、お客様からお預かりする個人情報を、盗聴可能な状態にしてしまうのは道義上、許されることではないと思う。

そのため、上述の通り、自社のホームページの問い合わせや、購入画面など、閲覧者に個人情報を入力してもらう画面は、https:// で始まるページ として提供するべきだ

 ところが、このhttps:// で始めるページを、自社ドメインで提供するためには、独自SSL証明書というものを購入せねばならない。

印鑑証明書のようなものなので、1年、3年、5年など有効期限がある。

こうした証明書がないと、自社ドメインで https:// から始まるページは作れないのだ。

 

さて、このSSL証明書は、証明書発行機関から購入するのだが、レンタルサーバを使ってホームページを運用している場合、導入可能な証明書に制限があることがほとんどだ。

利用しているレンタルサーバのサービスをよく確認してから、どの証明書を導入するかを検討する必要がある。

 

ところが、このSSL証明書は、中小企業にっては結構高いと感じる値段設定になっていることが多い。

これを節約させるために、共有(共用)SSLという仕組みを提供している場合がある。

 

結論から言うと、多くの共有(共用)SSLは、セキュリティ上の問題があるので、利用をおすすめしない。

もちろん、全ての共有(共用)SSLがNGというわけではないが、サーバ提供事業者でさえ、このSSLのセキュリティ上の問題を正しく理解しているところは多くないのか、あるは、理解はしているが対応していないところが多い。

実際、共有(共用)SSLによるメールフォームの設置には、様々な問題が存在する上、豊富な技術的知識が必要となるので、本ブログ読者層として想定している一般の方、中小企業経営者の方々の大半の方々にとっては、適切な運用を行うのは至難の業と言っていいと思う。

 

【参照ページ】悠雀堂:SSLについて考えること

【参照ページ】アルゴニートブログ:Chicappa(チカッパ!)の共有SSLはなぜ変更になったのか?

【参照ページ】高木浩光@自宅の日記:共用SSLサーバの危険性が理解されていない

 

適切な設定、運用を行うことができる業者に頼むとしても、その調査や設置のためにかかる費用を考えると、独自SSL証明書を利用した方が安価になるのでは?と考える。

つまり、レンタルサーバ事業者自体が、安全な形でサービスを提供しているとは限らない上、利用者が適切な設定、運用も難しいため、共有(共用)SSLの利用をおすすめできないのである。

実はメールフォームをSSL化しても不十分

さて、入力フォームを独自ドメインでSSL化する必要があると述べたが、フォームのSSL化によって暗号化されるのは、入力しているユーザと、入力フォームが設置されたウェブサーバとの間の通信だけである。

そのフォームによって入力された内容がe-mail によって送信される仕組みであった場合、フォームのサーバから、メール受信サーバの間の通信は暗号化されず、平文で流れる。

つまり、せっかく「封書」として入力しても、勝手に中身を開いてはがきの状態にして送信されてしまうのだ。

smtp

こうしたメールによって入力内容が送信されるフォームが多くのホームページに設置、運用されているが、その多くが、このような平文での送信となっている。

フォーム情報をメールで送信する場合は、メールそのものを暗号化しない限り、盗聴を防止する方法は存在しない。

取得した情報がインターネットを流れるとき、その経路全てを暗号化しない限り、安全ではないのだ。

 

ところが、インターネット上で販売、配布されているメールフォームにおいて、送信するメールを暗号化する機能を有したものを見たことがない。

筆者はかつて独自でシステムを構築し、暗号化メールにて送信する仕組みをお客様に提供したことがあるが、独自システムの構築は非常に高額になるから、中小・零細企業にとってはハードルが高いだろう。

そこで、メールについては、「お客様からの連絡があった」ということだけを通知する内容に限定し、そのメールに記載されているURLをクリックして表示される画面を、https://から始まるSSL通信にて提供する形にすると安価で安全な連絡方法を構築できる。

Step 1 フォーム画面で入力したデータは、メールではなく、ウェブページとしてウェブサーバに保存

form-Step01

Step 2 フォーム画面でデータ入力があったことを、メールでサイト管理者へ通知

 このとき、メールには個人情報を一切記載しない

 入力内容が保存されたウェブページのURLと、入力日時程度の情報だけをメールに記載する

form-Step02 

Step 3 フォーム画面でデータ入力があったことを、メールでサイト管理者へ通知

 

届いたメールに記載されているURLをクリックの後、IDとパスワード入力画面を経て、フォームで入力された情報を記載したウエブページをSSL通信で閲覧する。

form-Step03

 

 

こうした、個人情報を取り扱う通信については、その経路を全て暗号化しておかなない限り、盗聴を防止することはできないのだ。

なお、蛇足であるが、ウェブページとして個人情報を保存する以上、そのウェブサーバへの不正アクセス対策もきちんと行っておく必要がある。

 

【参照ページ】operationservicebuの日記:共有SSL議論以前の話

 

 

最近、再び個人情報保護についての関心が高まってきている。

情報漏洩事故が経営に大きな損害を与え、場合によっては企業の存亡に関わる事件に発展することもあり得る。

逆に、ネットを全く使わないで事業を発展させる方法の多くは、ネットを積極活用する場合に比べて効率が悪く、難しい戦いを強いられることが多い。

特に、中小零細企業の場合は、可能な限り安価にお客様とつながる方法としてインターネットは有益なツールであることは間違いないのだから、本記事に記載したような内容についてきちんと対応した方が、より安定的な発展を助けることができるはずである。

The following two tabs change content below.

岡本 興一

クライアント経営者からは「カウンセラー」と呼ばれている自称「IT活用コンサルタント」。 ホームページ制作の依頼があっても、経営改善のための社長カウンセリングが始まり、なかなか制作が始まらないということで有名。 1971年生まれ。国立大阪大学工学部卒業。 ネットとITに詳しい経営者のサポーターで、仕組み作りのプロフェッショナル。 PHS販売数日本一の通販サイトや、圧倒的な売上を作るホテルのサイトなど多数プロデュースし、インターネットやITを経営に役立てるためのノウハウを常に仕入れ、実践しているだけでなく、経営に関する様々なノウハウ、メソッドの研究を行っており企業の「戦略」策定能力には定評がある。 保有資格:ITコーディネータ / CompTIA e-Biz+ / TCAE /公認情報セキュリティ監査人 / 情報セキュリティアドミニストレータ / CSMS(米国SEW認定SEO/SEM スペシャリスト)など多数
  • Pocket
  • LINEで送る
  • このエントリーをはてなブックマークに追加

関連記事

WordPressサイトの高速化に効果のあったCDN(Cloud Flare)とプラグイン
他の戦略策定に用いられるフレームワークとのBSC(バランス・スコアカード)との違い
SWOTは戦略案を抽出するためにこそ有益な資料になる(TOWS分析のやり方)
アクションプランを策定する
SWOT分析時に精度を上げるためのフレームワーク
MGではどういうこと??~BSCと経営計画
大規模組織~少人数グループ、個人までBSC(バランス・スコアカード)は活用できる
し、知らなかった・・・Gmail の検索で、OR は or と小文字にしてはいけない
できることだけに集中しよう~ なぜ戦略を立案しても達成することができないのか? Part3 ~
顧客の絞り込みができなければ経営理念を見直してみよう
平野部(長距離)で戦うな。ゲリラ戦(接近戦)に持ち込め!
MG参加メモ:2014年7月19日(土)~20日 (日) こうべMG
なんで、IT業界、ウェブ業界って、いつまでもこんな業者が多いんだっ!
企業のWebサイト(ホームページ)構築にWordPress をオススメする理由
WordPressサイトの機能追加には、WordPress本体の改造ではなく、プラグインを用いるべき

Menu

HOME

TOP