ひじり相談室 (パソコン障害対策、家電品マスターも支援) | 日記 | ネット販売、ネット商売と流出、ハッキング

IT関係から、理系専門用語までお困りの手助けができれば幸いです。

店舗URL:

Top >  日記 > ネット販売、ネット商売と流出、ハッキング

ひじり相談室 (パソコン障害対策、家電品マスターも支援) の日記

ネット販売、ネット商売と流出、ハッキング

2010.12.02

2009.11.12 の過去サイト記事ヵら 移転

この当時、こんな事件があったんですね。バブル崩壊後、ITで経済復興と言っていた当時
アメリカのレコード通販サイトでしたか、クレジット情報を人質に身代金を要求する事件があった
んですが、ITで復興計画に都合が悪かったので、全く報道がありませんでした。
アメリカの50ドル法と同じ法律を制定するべきですが、金融界が絶対認めないので、成立しませんね。悪魔のようにchからが正義の国であるらしい。

アリコのニュースがあったので、触れてみました。

昔、Webサーバーには、重要な情報は、保持・保存するな。常に攻撃にさらされている。破壊されることを前提とせよ。と有識者内では言われていました。

Webサービスは、防護壁(ファイヤーウォール)の外にサーバーがあったためでしょうが、現在は、防護壁内に設置可能となり、ネットで商売となったために、不用意に重要情報を保持しているサーバーもあります。
なんでもネットワークになり、社内の事務処理までLAN化しています。
それも、外部と直接接続されている事も珍しくありませんね。
すべて、対外セキュリティというより、社内部署同士の機密保持の目的が念頭の隔離だったり、大半は処理負荷の軽減が目的で、グループ分け(セグメント分割)したり、3層構造にします。それぞれWebサーバ、アプリケーションサーバ(処理を行う本体)、データベースサーバ(あらゆるデータを保管)といいますが、アプリサーバーは、規模が小さいと他のサーバーのどれかと一緒になる事があります。
個人店舗などで顧客が少なければ、全部一緒になるわけ。
処理負荷は考えても、セキュリティを考えているわけではないためです。
分散すれば費用も格段にかさみます。

情報を守りたいのであれば、公開情報は、必要最小限にして、他のバックグランド情報は、物理的に隔離された場所に保管すべきです。
たとえば、住所変更って、顧客が確認したり、入力を軽減するためには必要かもしれないが、変更時に変更後がデータ保存できれば、翌日中までに、本台帳に反映させればいいんです。
人手ではできない事もあります。その時は、接続を切り替えて、ミラーリングの片方を使ってとかして、バッチ更新すればいいです。全顧客データを外部にさらすよりましでしょ?

ハッキング、流出といっても、組織の決定パターンや癖、設定パターンを全く知らない、完全な赤の他人より、内部で知りうる人物の場合が多く、被害の出たセキュリティ、情報流出犯罪の大半は、内部犯罪になるのです。
入手できる情報のうまみだって、全くの外部にはわからないから、動機が薄くなりますから、意欲がわきません。入り込むこと自体に価値を見出すなら、必要以上に、もち出したり流したりしませんよ。

他にもありますよ。販売システムは、全国営業所に繋いで随時更新されるから、外部に開放されているとしましょう。会計システムは、本当に繋いでおく必要がありますか?会計システムは結局、経理部門が握っているのでは?
財務情報みて喜ぶ部外者なんていうようには思えませんが。
株投資なら、販売システムだろうが会計システムだろうが経営状態はわかると思いますが、いかがで?
実際は、現在の多くは統合システムで、一緒になっていて、同じデータベースサーバーで、データ統合・連動になっているし、オフィス内がすべて外部ネットワークと
つながっている。外部接続なしでは仕事にならなくなっていますからね。
ジレンマですね。 ただ、今は、昔、Windows万能みたいに盲信した(今も?)ように
こういう物だと思って、受け入れていませんか?
わからない人も含めて、よりベストなやり方、納得のいく制限の範囲内での対応を探して決めないといけません。

情報科学のドクター、教授だって、だからこそでしょうが、ネットワークを信用していません。試験問題なんかは、FD等で、物理的に隔離してました。
便利なものだし、正しく、よく考えて使えばいいのですが、セキュリティは、いつか破られるもの、物理的につながっていたら、いつか流出するんです。ただその情報や商品が、売買価値、利用価値のある間、流出しなければ、良い。ラッキーなだけです。
メーカーは売りたいから言ってくれませんが、気が付いたら免責事項に書かれてるかもしれませんよ。

詐欺事件も増えてるようですし、個人消費者の立場からみると、いよいよ

通称、50ドル法の制定が不可欠ではないでしょうか?

日本では、カードを使われた場合、ほぼ全額請求されますが、
はっきり自分が使ったのではない場合、アメリカでは、この法律があり
いくら「他人に」不正使用されようが、カード契約者は、50ドル以上払う義務が
ないのです。

日本にも同様の法律が必要ですが、金融偏重の政策を打っていた今までは
あり得ない立法でしょうね。今後はどうなりますやら、被害が広がれば、
制定もあり得ますか?
せっかくなら業種を広げ、あらゆる流出情報に関する物に、適用すべきかもしれませんね。

日記一覧へ戻る

【PR】  青森港町リサイクルセンター  埼玉東松山アルトケアスクール  RelaxingRoom RONRON  コインランドリー ママラック  エクセルフィットネスセンタ-