個人情報漏洩とデータベース
このところ頻繁に大型の個人情報漏洩のニュースが報道され、個人情報の扱いについての関心が高まっていると思いますので、今回は、個人情報を管理するデータベースについて考えてみたいと思います。
まず、大前提として個人情報漏洩の危険をおかしてまで、個人情報をウェブサーバーから利用する必要があるかどうかを冷静に判断する必要があります。
インターネットで提供するサービスによっては、どうしても個人情報をウェブサーバー経由で利用する必要もあると思いますが、ウェブサーバーからユーザー名やパスワードを入力すると個人情報が利用できるようになっているということは、そのデータベースは外部から利用できるということであり、漏洩する危険と常に隣り合わせの状態にあるということなのです。
攻撃の手口についての説明は別の機会としますが、現実問題としてレベルの高い攻撃者に本気で狙われたら攻撃を完全に防ぐことは難しく、今のところ攻撃者とサーバー管理者のいたちごっこに終わりはないといっても過言ではありません。
そうした状況を踏まえ、個人情報をどのように管理するかですが、思い切ってウェブサーバーからデータベースを利用しないという方法も検討してみてはいかがでしょうか。
攻撃を受けることを承知の上で、あえて危険な方法を選ぶのではなく、多少不便でも安全な方法を選択するという判断も大切だと思います。
データベースをウェブサーバーと切り離して管理すれば、外部からのデータベースへのアクセスが基本的には困難になるわけですから安全性は格段にアップします。
ウェブから入力された情報をデータベースに登録する部分が手作業になってしまうなど非効率な部分も、BitplusPRO(ビットプラスプロ)を使用すればほとんどの場合自動化することが可能です。
BitplusPROは、ウェブからフォームを使用して送信されるようなレイアウトが固定されたメールであれば、メールの本文を分析し項目ごとにデータベースに出力することが出来ますのでデータベースに情報を追加するという点においては、何ら不便はありません。
ただ、データベースをウェブサーバーから利用することはできませんので、データベースの情報をウェブページで表示するようなサービスは出来なくなります。
一歩進めて、個人情報はウェブから切り離したデータベースで管理し、個人情報以外(個人を特定できない情報、例えば、ID・パスワード・ニックネームなど)についてはウェブから利用できるデータベースで管理するという方法も可能で、どのようなサービスを提供するかによって最適な方法を選択し、何が何でもウェブサーバーとデータベースを連動させる必要はないということは覚えておくとよいでしょう。
|
