| 2013-08-14タイトル: | 情報漏えい | |
| 投稿者: | 管理人 | 00139_ |
| 本文 | 新聞やテレビで情報漏えいが報道される。数千人とか数万人分漏れている。 そこで情報漏えいについて少し考えてみた。 1.公開されているネット情報を寄せ集めて大量の個人情報を収集する方法。 通常は、公開していても一度に照会できる件数に制約をつけている。 通常一覧表示はしていない。 会員制の場合は、会員単位で照会数に制限をつけるなど管理されている。 2.サーバーから盗む方法。 名前と住所は一緒に持たない。テーブルも分割し暗号化キーで紐づけする。 メールアドレスや電話番号のように名前がわからなくても悪用できる可能性のあるものは そのままデータベースに保持しない。かならず暗号化して持つ。 暗号化に当たっては、検索対象にするのであれば、他者にはわからず自分のみ解析できるような 固有の暗号化手法を考えなくてはいけない。 盗まれるとしたら FTP でDBの物理的なファイルをそのまま盗む。Export、Unload、archive ファイルを Downloadするなど。 前期ファイルをLAN環境でファイル共用などによって自分のパソコンに取り込み物理的に持ち出す。 httpでも条件がそろっていればDownloadできる可能性はある。要はDBのConnection時のID、パスワードのみでは全とは言えないので、そのままで利用できそうな項目はデータを暗号化すれば、盗難にあっても流用されるリスクは少なくなる。 持ち出されない管理も大切だが、持ち出されても簡単には利用できない工夫も考えてほしいものだ。 | |