特集
インターネットサービスの新基準:
暗号化で守れる範囲は「経路」だけ (1/2)
最近は、信用にかかわる情報には最大限のセキュリティ対策を講じなければならない世情となっている。現在、Web上でスタンダードとなっているのがSSLによる暗号化だ。運用側が行うべき対策は現状で十分だろうか?
インターネットにおける通信は、その仕組み上、途中の経路で第三者にのぞかれてしまう危険性がある。そこで、オンラインショッピングをはじめ、個人情報を扱うサイトで使われているのが「暗号化」の技術だ。
暗号化として代表的なものは、Webページを保護するための「SSL」が知られている。オンライン決済経験がある人は、「ブラウザの右下に鍵アイコンが表示されているか確認すべき」といった注意を聞いたことがあるはずだ。しかし、このSSLは導入するだけでは不十分である。メールの送受信やコンテンツのアップロード、集計結果のダウンロードなどにも配慮が必要だ。
オンライン・ムック「インターネットサービスの新基準」では、サービス構築・運用・管理にかかわるユーザーを対象にノウハウを解説してきた。
これまでは、基盤(ホスティングサーバ)選択の指針を中心に解説してきたが、今後は、インターネットサービスを支えるために基盤構築をどのように行えばよいか? という、サービス構築と維持をベースとした視点にシフトしていく。今後もこのオンライン・ムックでは、徐々に異なる上層レイヤーへと視点を移していく予定だ。現在の記事は、サーバの基盤上に構築するミドルウェアの層に位置する。
そして今回のテーマは、Webアプリケーションの安全性を高める場合に注目したいポイントの一つ、暗号化についてだ。
管理時のセキュリティに注意しなければ意味がない
最近では、個人情報保護法が施行されたこともあり、エンドユーザーでも情報の扱われ方に注視するようになってきた。銀行や証券など金銭にかかわる取り引きに限らず、オンライン決済時の住所入力や、さらには簡単なアンケートページでさえも、暗号化されるようになった。
そして、根底の技術へと目を向けてみれば、ブラウザとサーバ間の入出力を暗号化するために用いられるのが前述したSSLだ。SSLは一般に数多くのサイトで採用されている。
しかし、このSSLだけでは万全ではないと強調しておかなければならない。入力されたデータをサイトの運営者が最終的にどのような経路で閲覧するのか? という点こそが重要なのだ。
一部のオンラインショッピングサイトで見られる悪い形態としては、Web上で入力された発注内容をメール経由で運営者に送信するという事例だ(図1)。この仕組みは構成が簡単で構築も容易なため多く使われてきたが、基本的にメール内容は暗号化されないため盗聴の危険性がある。
また、サイト上で行ったアンケートページによる集計結果をCSVテキストなどでダウンロードする事例もある。ここでダウンロードにFTPを用いるのは好ましくない。CSV自体で蓄積することは安全なのか? という問題点もあるが、ここでは経路にポイントを絞っておく。FTP利用は、こちらも基本的に暗号化されない点が問題なのだ。
クライアント証明書を用いた認証採用が広まっている
このような問題があるため、通常、Webアプリケーションでは、管理者向けのWeb管理画面を作り、そのWeb管理画面をSSLで構成し、そこで各種操作をすることが基本となっている。
このときには、第三者が管理ページにアクセスできると困るので、サーバサイドで認証手順を用意すべきだ。認証の際には、よく用いられるのがパスワードによる保護である。管理者は、あらかじめ定められたユーザーID、パスワードを使ってログイン操作する。
しかしパスワードによる認証は、パスワードの漏えいという問題点が残る。そこで最近は、「クライアント証明書」を使って認証する事例が増えてきているのだ。
クライアント証明書とは、サーバサイドでユーザーごとに作成した証明書のことである。ユーザーは、この証明書をWebブラウザにインストールして、Webサーバへとアクセスする。つまりクライアント証明書は、身分証明書のようなものである(図2)。この方式であれば、クライアント証明書が盗用されないよう気遣えば、第三者によってログインされてしまうことはない。ちなみに、クライアント証明書は失効することもできるため、紛失時の対処面でも安心だ。
なお現実的な運用形態を考慮すれば、クライアント証明書を単体で使うのではなく、万が一に備えて、(1)パスワードによる認証も併用する、(2)IPアドレスによって特定のネットワークからのみの接続に限定する、といった運用をすべきだろう。
[大澤文孝,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
PR-FEATURES
今日から始める「情報漏えい対策」
PC側の簡単な操作だけで構築できるVPNとは
サーバダウンを“運”で片付けない!!
5万ユーザーが選んだセキュリティ基盤とは
ドメイン名は企業の根底を支える知的財産
失効、略奪、先行取得を防ぐ一括管理の方法
月額5775円のセキュアなグループウェア
サイボウズ Office 6 for ASPの魅力に迫る
HTMLを意識するのは、もう古い!?
ブログ感覚で本格的なホームページ構築
利用形態にあわせてカスタマイズが可能
サポート重視の専用型ホスティングサービス
高いカスタマイズ性と堅牢・安心なサービス
初心者でも簡単に運用可能な専用サーバは?
高い拡張性とコストパフォーマンスを実現!
多様なニーズに応えるホスティング新基準
企業のブランド戦略に必項な「ドメイン」
次世代ホスティングサービス「iCLUSTA」が
IT基盤をアウトソースした中堅中小企業たち
「ノートPCの持ち出し禁止」だけで大丈夫?
「設備」「ネットワーク」「マネジメント」Special
業務でオープンソースは不安、は過去のこと
「マピオン」の事例に見るOSSの活用法
技術者不在でも「すぐに使える」
中堅・中小に嬉しいPC管理ツールとは?
New!
「Windows 7搭載PC」で何が変わったのか?
導入事例から見えた“業務スタイルの変革”
「どこでもオフィス」で業務効率アップ!
PHP研究所のモバイルシンクライアント事例
トップエンジニア村上氏と上野氏が競演!
@ITメールソリューションLive! in Tokyo
@IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています
![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語るアクセストップ10
- Google、Gmailにソーシャル機能「Google Buzz」を追加
- クラウドで返り咲く日本企業のものづくり能力
- Microsoft、「Visual Studio 2010」「.NET Framework 4」のRCダウンロード開始
- Google、ビジネス版Google AppsにGoogle Voice追加を計画
- 「未来産業」のゆくえ
- 13件のMS月例セキュリティ情報が公開、WindowsとOfficeの脆弱性に対処
- BlackBerryとiPhoneを狙うスパイウェア、BlackHatでソースコード公開
- EMCとシスコ、VMwareのクラウド連合、国内向け施策を発表
- トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター
- 東洋大学、3万人の学生が使う学内SNSを導入
キャリアアップ
エンタープライズ・ピックアップ
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
2010年以降、クラウドサービスの利用がさらに加速する。サービスを利用する企業はプロバイダーのデータセンターに預けた自社情報を保護するために、法的な要素を理解しておかなければならない。企業が注意を払うべき法的な検討事項を整理する。
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
マイクロソフトが掲げるプロモーションメッセージ「社員にチカラを。ITで企業力を。(以下、BIEB)」からは、ITで社員の生産性を向上することが業績の拡大につながる、といったニュアンスを感じる。そこで気になるのが「じゃあ、マイクロソフトの社員自身はどうなのよ?」ということ。3人の現役MS社員により実態が明らかになる……?
産業構造を変えるか:「住宅クラウド」の衝撃
住宅都市工学研究所が進める「住宅クラウド」は、クラウドが企業のIT領域にとどまらず、ビジネスのやり方自体を変える可能性を示している。
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
SE出身の企業広報マンでありながら、趣味は落語で憧れの人はインディ・ジョーンズとアナログ全開の栗原さんに、ブログを書く理由やネットからはじまるコミュニケーションについて伺った。
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター
プログラミングにおける重要な概念である「探索」を最速でマスターするために、今回は少し応用となる探索手法などを紹介しながら、その実践力を育成します。問題をグラフとして表現し、効率よく探索する方法をぜひ日常に生かしてみましょう。
エンタープライズ インフォメーション
キーワードで探せるホワイトペーパー|
利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ |
ITmedia|ITmedia News|プロモバ|ITmedia エンタープライズ|ITmedia エグゼクティブ|TechTargetジャパン |
