セキュリティ(SSL)
セキュリティに関して、
システムのセキュリティを破るというとコンピューターのハッキングというイメージがありますね。
よっぽどコンピューターに長けている人で無いと入って来れないです。(最近は、そうでもないのですが)
しかし、セキュリティは、コンピューターを守ることができても、それだけでは、十分ではないんです。
途中経路でもセキュリティは重要なんですよ。
データが通るルートでも情報を盗まれる可能性があります。
電話での盗聴器のように、パケット盗聴器なるものが存在し
簡単に流れてくるデータを受信できてしまいます。
余談ですが、
実は、現在のメールの仕組みですと、その盗聴器を使えば、メールの中身は丸見えなんですよ。
本当は、メールには、重要なことを書いちゃいけないんです。
重要な情報は、パスワード付きのデータ倉庫を使用したり、
パスワード付きの圧縮ファイルに収め添付したりして守るようにしましょう。
(最近は、圧縮ファイルのパスワードクラックツールもあったりします。)
データ倉庫のURLを記載したメールやパスワード付きの圧縮ファイルを添付したメールに、
そのパスワードを記載したら同じことですよ。盗聴した人に中身を見られてしまいます。
漫才の良いツッコミどころにされてしまいます。
パスワードは、分かりにくいように別のメールで送信するか、電話やFAXで伝えるようにしましょう。
なお、メールの伝送経路が暗号化されていれば、そんなことする必要もないのですが、
今のメールの仕組みには、暗号化を実施しているところは非常に少ないのです。
さて、話を元に戻しましょう。
メールが盗聴されると同様にシステムも暗号化せずに利用すれば盗聴されてしまいます。
そこで、出てくるのがSSLです。
(httpsで始まるURLを閲覧している場合、SSL(暗号化)が使用されています。)
システムを使用するにおいて、このSSLを使用することにより
途中経路では、データが暗号化されますので盗聴されても、盗聴者は、読むことが出来ません。
個人情報等の情報を扱うWeb系のシステムを利用する場合は、必須となります。
サーバ会社との契約金額が、少し高くなりますが
漏洩した時の損害賠償金+会社のイメージダウンよりは、安いと思います。
セキュリティの矛盾
よく個人情報入力後に、入力内容の確認のメールが届きます。
https://・・・・・で個人情報を入力します。暗号化されているから安心して内容を入力でき情報を送信できます。
「送信」ボタンを押下します。
メーラーに、そのサイトからの登録内容の確認のメールが届きます。
入力した個人情報が全て列記されています。
上でも説明した通りメールって暗号化されていないんです。
サイトでいくらセキュリティを高くしても、メールでセキュリティをゼロにしてるんだから矛盾ですよね~。
こんなサイト、許せないです。
ご挨拶
さて、システム開発部長のブログを、これから書いていきます。
期待した内容では無いかもしれませんが、どうぞよろしくお願いします。
システム開発の業務、仕事、等、色々と書いていきます。
単なるブログでは無く、お役に立てる内容が書ければと思っております。
がんばりま~す。よろしく。