特集
インターネットサービスの新基準:
暗号化で守れる範囲は「経路」だけ (1/2)
最近は、信用にかかわる情報には最大限のセキュリティ対策を講じなければならない世情となっている。現在、Web上でスタンダードとなっているのがSSLによる暗号化だ。運用側が行うべき対策は現状で十分だろうか?
インターネットにおける通信は、その仕組み上、途中の経路で第三者にのぞかれてしまう危険性がある。そこで、オンラインショッピングをはじめ、個人情報を扱うサイトで使われているのが「暗号化」の技術だ。
暗号化として代表的なものは、Webページを保護するための「SSL」が知られている。オンライン決済経験がある人は、「ブラウザの右下に鍵アイコンが表示されているか確認すべき」といった注意を聞いたことがあるはずだ。しかし、このSSLは導入するだけでは不十分である。メールの送受信やコンテンツのアップロード、集計結果のダウンロードなどにも配慮が必要だ。
オンライン・ムック「インターネットサービスの新基準」では、サービス構築・運用・管理にかかわるユーザーを対象にノウハウを解説してきた。
これまでは、基盤(ホスティングサーバ)選択の指針を中心に解説してきたが、今後は、インターネットサービスを支えるために基盤構築をどのように行えばよいか? という、サービス構築と維持をベースとした視点にシフトしていく。今後もこのオンライン・ムックでは、徐々に異なる上層レイヤーへと視点を移していく予定だ。現在の記事は、サーバの基盤上に構築するミドルウェアの層に位置する。
そして今回のテーマは、Webアプリケーションの安全性を高める場合に注目したいポイントの一つ、暗号化についてだ。
管理時のセキュリティに注意しなければ意味がない
最近では、個人情報保護法が施行されたこともあり、エンドユーザーでも情報の扱われ方に注視するようになってきた。銀行や証券など金銭にかかわる取り引きに限らず、オンライン決済時の住所入力や、さらには簡単なアンケートページでさえも、暗号化されるようになった。
そして、根底の技術へと目を向けてみれば、ブラウザとサーバ間の入出力を暗号化するために用いられるのが前述したSSLだ。SSLは一般に数多くのサイトで採用されている。
しかし、このSSLだけでは万全ではないと強調しておかなければならない。入力されたデータをサイトの運営者が最終的にどのような経路で閲覧するのか? という点こそが重要なのだ。
一部のオンラインショッピングサイトで見られる悪い形態としては、Web上で入力された発注内容をメール経由で運営者に送信するという事例だ(図1)。この仕組みは構成が簡単で構築も容易なため多く使われてきたが、基本的にメール内容は暗号化されないため盗聴の危険性がある。
また、サイト上で行ったアンケートページによる集計結果をCSVテキストなどでダウンロードする事例もある。ここでダウンロードにFTPを用いるのは好ましくない。CSV自体で蓄積することは安全なのか? という問題点もあるが、ここでは経路にポイントを絞っておく。FTP利用は、こちらも基本的に暗号化されない点が問題なのだ。
クライアント証明書を用いた認証採用が広まっている
このような問題があるため、通常、Webアプリケーションでは、管理者向けのWeb管理画面を作り、そのWeb管理画面をSSLで構成し、そこで各種操作をすることが基本となっている。
このときには、第三者が管理ページにアクセスできると困るので、サーバサイドで認証手順を用意すべきだ。認証の際には、よく用いられるのがパスワードによる保護である。管理者は、あらかじめ定められたユーザーID、パスワードを使ってログイン操作する。
しかしパスワードによる認証は、パスワードの漏えいという問題点が残る。そこで最近は、「クライアント証明書」を使って認証する事例が増えてきているのだ。
クライアント証明書とは、サーバサイドでユーザーごとに作成した証明書のことである。ユーザーは、この証明書をWebブラウザにインストールして、Webサーバへとアクセスする。つまりクライアント証明書は、身分証明書のようなものである(図2)。この方式であれば、クライアント証明書が盗用されないよう気遣えば、第三者によってログインされてしまうことはない。ちなみに、クライアント証明書は失効することもできるため、紛失時の対処面でも安心だ。
なお現実的な運用形態を考慮すれば、クライアント証明書を単体で使うのではなく、万が一に備えて、(1)パスワードによる認証も併用する、(2)IPアドレスによって特定のネットワークからのみの接続に限定する、といった運用をすべきだろう。
[大澤文孝,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
PR-FEATURES
今日から始める「情報漏えい対策」
PC側の簡単な操作だけで構築できるVPNとは
サーバダウンを“運”で片付けない!!
5万ユーザーが選んだセキュリティ基盤とは
ドメイン名は企業の根底を支える知的財産
失効、略奪、先行取得を防ぐ一括管理の方法
月額5775円のセキュアなグループウェア
サイボウズ Office 6 for ASPの魅力に迫る
HTMLを意識するのは、もう古い!?
ブログ感覚で本格的なホームページ構築
利用形態にあわせてカスタマイズが可能
サポート重視の専用型ホスティングサービス
高いカスタマイズ性と堅牢・安心なサービス
初心者でも簡単に運用可能な専用サーバは?
高い拡張性とコストパフォーマンスを実現!
多様なニーズに応えるホスティング新基準
企業のブランド戦略に必項な「ドメイン」
次世代ホスティングサービス「iCLUSTA」が
Special
![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_05_1267529673.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
[経営の見える化]につなげる新システムとは
「Tomcat」や「JBoss」などAPサーバ環境の
膨大な情報量の中から「サンプル・コード」Special
「紙とは何か?」――開発責任者は考え抜き
官公庁も採用する“電子の紙”を生んだ
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?
一気に解説! 最新のクラスタストレージ
TCOを3分の1にするスケールアウト型NAS…等
400台以上のグループ内サーバを統合管理!
システムの「見える化」で得たメリットは?
コスト削減目標の達成率“約120%”を実現
「中堅企業のCIO」が選んだクラウドとは?
どこまで取り組む? 自社のクラウド化
クラウドに対する企業の取り組みを紹介
New!
「メール見てない」と言われないために――
情報の共有を“ガラッ”と変える方法は?
経営危機を回避したガースナー元CEOの手法
IBMが実践している「予測型経営」とは?
仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
仮想環境の構築とデータ保護の特効薬?!
世界“110カ国”が採用、「日本も」適用へアクセストップ10
キャリアアップ
エンタープライズ・ピックアップ
クラウドがもたらす本当のメリット:日本のクラウド市場の現状とクラウドの価値へのフォーカス
クラウドに関する企業ユーザーの声は厳しい。それが何を意味するのかがいまだ分かりにくく、まして何を提供してどのような利便性が生まれるのかの説明がなされていないからである。クラウドがもたらす変化や体験を正しく伝え、理解されることが、本当のクラウドを企業へ推進することにつながるのである。
点検 ストレスなきデジタル情報整理術:「残業ゼロ」に向けて社員の能力を引き出す方法――元トリンプ社長の吉越氏
業務の生産性向上や効率化などの課題を解決するには、ITの活用に加えて、社員が活力を維持できることも重要になる。ストレスのない働き方を実現していくためのポイントを、「残業ゼロの仕事術」で知られる元トリンプ・インターナショナル・ジャパン社長の吉越浩一郎氏に聞いた。
戦略コンサルタントの視点:無料化するクラウド、潜む落とし穴
戦略コンサルティングファーム独ローランド・ベルガーに、情報システムの新たな姿について寄稿してもらう。4回目は、クラウドコンピューティングの落とし穴について解説する。
ITmedia リサーチインタラクティブ 第5回調査:Google Appsへの期待が鮮明に――変わる企業の情報共有基盤
電子メールやスケジュール管理などの機能を持つコミュニケーションツールの入れ替え時期が迫っている。10年前に導入した企業が約4割に上り、今後の導入においてはGoogle Appsへの期待が高まっている。ITmedia エンタープライズとITRが実施した読者調査から、企業の情報共有基盤に対するニーズの変化を明らかにする。
ドジっ娘リーダー奮闘記:年上の男の子
年功序列型の組織ではあまり存在しなかった立場と年齢の逆転が実力主義の現在では当たり前になり、若いリーダーが年上のメンバーとの関係に戸惑うことが多いようです。今日は年上のメンバーへの接し方を、しんこちゃん&春美ちゃんの新米リーダーペアとともに学びましょう。
エンタープライズ インフォメーション
キーワードで探せるホワイトペーパー|
利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ |
ITmedia|ITmedia News|プロモバ|ITmedia エンタープライズ|ITmedia エグゼクティブ|TechTargetジャパン |
