[個人情報を扱うWEBサービスを運営している代表者または担当者の方へ]
総務省調べで、企業の4割以上が、データベースに保管するユーザーのパスワードを暗号化していないことが分かりました。
http://www.security-next.com/061114
回答を差し控える企業が多かったとのことで、実際はこれよりはるかに多くの企業が、パスワードをそのまま保管していると思われます。
弊社も経験上、たくさんのシステムでパスワードを暗号化していないデータベースをみてきました。
もちろん社内のイントラサイトのように外部からのアクセスが制限されている環境を大義名分に、自覚的に暗号化していないところもありましたが、ベネッセのような内部リークでは防げないのは自明です。
貴社のサービスは万全ですか?
多くのクライアントが、予算都合でセキュリティを不十分なままとしています。
WEBアプリケーションは見た目がエンドユーザに与える影響は大きいので、デザイン重視も決して否定しません。
しかしリスクヘッジを考えると、多くの企業が個人情報の漏洩によって甚大な企業イメージの損失を引き起こしており、そのダメージは洗練されたUXデザインによって形成されたエンドユーザの信頼をすべて捨て去ってもまだ余りあるものです。
以下は、日々発生している企業の情報漏えいの一端です。
http://www.security-next.com/category/cat191/cat25
今後、セキュリティを重視しない企業は、間違いなくユーザーの獲得に苦労しするでしょう。
SSLは導入していますか?
ログイン画面のURLはhttps://~になっていますか?
なんでもスマホ対応と言っていますが、その前に、喫茶店などで公衆無線LANを使ってスマホから貴社のサービスにログインしようとしているユーザーに差し迫っている潜在的な危険がどういったものか、理解していますか?
https://www.google.co.jp/search?q=wifi+傍受
パスワードは非可逆暗号化方式で暗号化しましょう。
可能なら、個人情報に関する属性項目もすべて暗号化できないか検討しましょう。
ログイン画面をSSLで暗号化しましょう。
可能なら、全ページにSSLを導入しましょう。
FTPを禁止して、SSHかSFTPに切り替えましょう。
SSHは鍵認証ログインだけにして、rootユーザーは廃止しましょう。
双方がTLS暗号化されていないメールで、パスワードを書いて送るのをやめましょう。
何かあってからでは、遅いのです。
- 【セキュリティ ニュース】約3分の1が不正ログイン被害を経験 – 半数弱がPW保存時ハッシュ化せず(1ページ目 / 全1ページ):Security NEXT
ウェブサービスを提供する約3分の1の企業が、不正ログインの被害を経験しているとの調査を総務省が取りまとめた。:Secur…