個人情報の流出は内部犯行が主なので外部セキュリティーを強めるより、システムエンジニアを徹底監視する必要あり

2023-02-03    721   1803 この記事はYoutubeにて同じ内容のものが公開されております





フリーランスはビジネス思考がないとやっていけません。ですので、IT系の人材を目指すなら知っておくべき情報もお話していきます。

サイトの規模に合わせてセキュリティーレベルを考えるべき


社内用の管理システム・予約システム・ポータルサイトの構築はPHP+MySQLのシステム案件が占める割合が多いのですが、セキュリティーにやたらこだわるクライアントさんがいます。

セキュリティーはもちろんスカスカではダメなので、セッション使ったり、入力内容の受け取りはもれなく確実にエスケープ処理をする。あとはマスター管理画面はhtaccessでIP制限かけたりと、それで十分です。

どれだけセキュリティーを頑張っても、内部の人間の犯行はそうそう防げません。

個人情報漏洩が起きるよくあるケースの一例


例えば、不動産サイトを運営している会社にシステム担当が新たに入社しました。データベースに入って全データをエクスポートして、SQLのファイルを持ち帰りました。なんと10万人もの個人情報のリストで、年齢・電話番号・資産の目安が記録されています。ハングレ組織にコンタクトをとって、100万円で売り飛ばしました。はい、個人情報漏洩です。

こういうことが実際にあるのです。

ハングレ組織は個人情報を買い取ってるくれるそうで、だからそれを知っているエンジニアは悪さをしたくなります。ですから、個人情報の漏洩はほとんどのケースが内部犯行だと考えられます。企業スパイだったりするのかなと思います。

ワードプレスのように利用者が多いシステムは狙われやすい


とういうのも、外からのアクセスではデータベースに侵入するということがドラマ・映画のようにできるか?と言われたら、そんなことはありません。

ただし、オープンソースのシステムを使っている場合は危険です。ワードプレスは人気がある分、狙われやすく、過去に多くの被害がでました。ワードプレスの管理画面URLを変更しない人が多いので、そこが狙いどころになります。だから私は絶対的にワードプレスは使わないです。PHPのフレームワークも使いません。独自PHPで作ります。

サイトの規模に合わせてセキュリティーが考えられない技術者はレベルが低い


あと、セキュリティーをやたら気にされる方は、自意識過剰かドが付く心配性です。天才ハッカーが小規模な中小企業のシステムをわざわざターゲットを絞って狙いますかね?まずないと思います。だから過剰なセキュリティーの導入は無駄です。コストが大きくなるだけでムダ。

システムを発注するクライアントさんだけでなく、システムエンジニアもセキュリティー症候群の方が割合多いです。だいたい技術レベルが低い方です。サイトの規模に合わせてセキュリティー設計を考えるべきなのに、考えが単一的の人。はっきり言ってビジネス思考ゼロ。エンジニアはただのヲタクではいけません。

もちろん大規模サイトならこだわるべきです。しかし、利用者が1万にも満たない、そして扱う個人情報が大した項目ではない。そんな場合はノーマルなセキュリティーの導入で全く問題ありません。

今記事を短くまとめると


大規模サイトの場合は、外部セキュリティーを強めても、内部犯行が主なのでシステムエンジニアを徹底監視をする必要があります。外部からはそうそう入れません。個人情報流出は内部対策の方が重要なのです。

comment 登録なしでご自由にご入力いただけます(^^)ぜひぜひ記事のご感想をお聞かせ下さい。

お名前とコメントは入力必須です。

コメントの文字数が短すぎます。

この内容でコメントを送る
コメントをする

目が疲れている方向けにラジオ系Youtubeを始めました

オススメのPHPに関する記事

この記事がお役に立てましたら是非シェアのご協力お願いします。