Web システム開発時の一般的なセキュリティ対策(2)

初めから読む

弊社で行っているWeb システム開発時の一般的なセキュリティ対策のご紹介です。
少し難しい用語もありますので、順番に解説してまります。

セキュリティ対策 A. 開発時にサーバに接続する際はFTPは使用せずsshで接続する。

Webシステムは 24時間稼働している「サーバ」と呼ばれるコンピュータ上に設置しますが、その開発は技術者のオフィス内にある作業用のコンピュータで行います。

開発が終わり公開の準備が整ったらオフィス内のコンピュータからサーバにWebシステムを移動しますが、この移動の方法にちょっと注意を払いましょうというのが開発時のセキュリティ対策の一つです。

FTP（※）という方式が昔からインターネットでファイルの移動によく使用されていて、現在も便利に使用されている方法ですが、この方法には「パスワードをのぞき見しようと思えば簡単にのぞき見できる」という欠点があります。

※ FTP
読みは「エフティーピー」。言葉としては File Transfer Protocol の略称。離れたコンピュータの間でファイルを移動する一つの方法の名称。

また、FTPは非常に一般的な方法であることから、パソコンに入り込んだコンピュータウィルスがパソコンにインストールされているFTPソフトからパスワードを盗みとるという問題も起こりました。2009年に非常に問題になった「Gumblar（ガンブラー）」攻撃の方法はこれです。

パスワードを盗まれてしまうと、後でサーバを悪用されたり、Web サイトを改ざんされて新たなウィルスをまき散らすといった問題に発展する可能性があります。

弊社のセキュリティ対応

ということで弊社では、ファイルの移動にはパスワードののぞき見ができない「ssh」という方法を使用しています。小さなレンタルサーバなどでは ssh が使用できず FTP しか使えない場合もあるので、この場合はやむを得ませんので FTP を使用します。

いずれの場合にも、ソフトウェアに付いている「パスワードを保存する」という機能を使わないのが原則です。ブラウザ、メールソフトなどにも普通パスワード保存機能がありますが、どんな事故があるか分からないので、弊社ではこれらの機能を使いません。

日々のセキュリティ配慮の要点

最後に、実務上無理の無い日常的なセキュリティ対策のアイデアをご紹介します。
企業内で Web サイトを管理する方にご参考になれば幸いです。

中小企業の Web サイトであれば FTP の「パスワードののぞき見」の方は実の所あまり問題になりません。のぞくのには、簡単と言ってもそれなりに手間がかかるためもありますが、それよりも、大抵の場合のぞく手間を掛けてもメリットが無いからです。

この場合はむしろウィルスによるパスワードの盗難や人間系でのパスワード管理がまずいために情報漏えいやWebサイト改ざんなどの問題が起こる可能性の方が高いです。

「パスワードを頻繁に変える」というのは良い対策なのですが、これは複数の人が Web サイト用に共通のパスワードを使用している場合、実際は難しい事です。

という事で、実務上のアドバイスは以下の2点です。

◇パスワードを知っている人が退社したらパスワードを変える
◇パスワードを、使うのと同じ場所に保存しない。
例）
・ソフトのパスワード保存機能を使用せず、関係の無いファイル内にパスワードだけ保存。
・Web サイト管理に使用するパソコンのモニタにパスワードを貼りつけておく（！）のではなく、手帳に書く。

もちろん、機密情報をやり取りする場合や機密情報を保存しているサーバ、大量の個人情報を保存しているサーバに接続する際には ssh の使用など、もう少し高いレベルの配慮を検討して下さい。