個人情報の流出は内部犯行が主なので外部セキュリティーを強めるより、システムエンジニアを徹底監視する必要あり

2023-02-03 612 1532 この記事はYoutubeにて同じ内容のものが公開されております

▽サイトの規模に合わせてセキュリティーレベルを考えるべき
▽個人情報漏洩が起きるよくあるケースの一例
▽ワードプレスのように利用者が多いシステムは狙われやすい
▽サイトの規模に合わせてセキュリティーが考えられない技術者はレベルが低い
▽今記事を短くまとめると

フリーランスはビジネス思考がないとやっていけません。ですので、ＩＴ系の人材を目指すなら知っておくべき情報もお話していきます。

サイトの規模に合わせてセキュリティーレベルを考えるべき

社内用の管理システム・予約システム・ポータルサイトの構築はPHP+MySQLのシステム案件が占める割合が多いのですが、セキュリティーにやたらこだわるクライアントさんがいます。

セキュリティーはもちろんスカスカではダメなので、セッション使ったり、入力内容の受け取りはもれなく確実にエスケープ処理をする。あとはマスター管理画面はhtaccessでIP制限かけたりと、それで十分です。

どれだけセキュリティーを頑張っても、内部の人間の犯行はそうそう防げません。

個人情報漏洩が起きるよくあるケースの一例

例えば、不動産サイトを運営している会社にシステム担当が新たに入社しました。データベースに入って全データをエクスポートして、SQLのファイルを持ち帰りました。なんと10万人もの個人情報のリストで、年齢・電話番号・資産の目安が記録されています。ハングレ組織にコンタクトをとって、100万円で売り飛ばしました。はい、個人情報漏洩です。

こういうことが実際にあるのです。

ハングレ組織は個人情報を買い取ってるくれるそうで、だからそれを知っているエンジニアは悪さをしたくなります。ですから、個人情報の漏洩はほとんどのケースが内部犯行だと考えられます。企業スパイだったりするのかなと思います。

ワードプレスのように利用者が多いシステムは狙われやすい

とういうのも、外からのアクセスではデータベースに侵入するということがドラマ・映画のようにできるか？と言われたら、そんなことはありません。

ただし、オープンソースのシステムを使っている場合は危険です。ワードプレスは人気がある分、狙われやすく、過去に多くの被害がでました。ワードプレスの管理画面URLを変更しない人が多いので、そこが狙いどころになります。だから私は絶対的にワードプレスは使わないです。PHPのフレームワークも使いません。独自PHPで作ります。

サイトの規模に合わせてセキュリティーが考えられない技術者はレベルが低い

あと、セキュリティーをやたら気にされる方は、自意識過剰かドが付く心配性です。天才ハッカーが小規模な中小企業のシステムをわざわざターゲットを絞って狙いますかね？まずないと思います。だから過剰なセキュリティーの導入は無駄です。コストが大きくなるだけでムダ。

システムを発注するクライアントさんだけでなく、システムエンジニアもセキュリティー症候群の方が割合多いです。だいたい技術レベルが低い方です。サイトの規模に合わせてセキュリティー設計を考えるべきなのに、考えが単一的の人。はっきり言ってビジネス思考ゼロ。エンジニアはただのヲタクではいけません。

もちろん大規模サイトならこだわるべきです。しかし、利用者が1万にも満たない、そして扱う個人情報が大した項目ではない。そんな場合はノーマルなセキュリティーの導入で全く問題ありません。