システム運用には様々なセキュリティリスクが潜んでいます。しかし、多くの企業ではセキュリティ対策が万全ではなく、どんどん巧妙化するサイバー犯罪の手口に対してあまりに脆弱です。本記事では、セキュリティリスクの最新事情と、対策のポイントを詳しく解説します。自社の情報資産を守り、セキュアなシステムをつくるガイドとしてお役立てください。
過剰な個人情報の取得は大きな危険をはらむ
セキュリティは、システムの重要な品質基準のひとつです。システムを開発・提供するときは、ユーザーの個人情報や組織の機密情報などを守るために、「セキュアなシステムをつくる」という意識が必要です。
設計・開発の段階でできる最初のセキュリティ対策は、本当に必要な個人情報だけ取る仕組みにすることです。アカウント登録時にユーザーに入力してもらう個人情報には、本当に氏名が必要か。オンラインサービスなら、住所は不要ではないか。ユーザー分析のために住所情報があると好ましいとしても、番地までは要らないのではないか。このように、過剰な個人情報が取得されようとしている場合は、見直しを求めましょう。
アクセス制限と認証システムの導入も、設計・開発の段階でとれるセキュリティ対策です。顧客のデータベースや経営情報など機密性の高い情報には、指定されたドメインやIPアドレス、回線からしかアクセスできないような設計にしましょう。さらにアクセス時には二要素認証や二段階認証を採用し、ユーザーIDとパスワードに加えて、登録電話番号にSMSで送られた数字などを入力させる設計を取ることが一般的になっています。われわれProgateでも、GoogleアカウントやApple ID、FigmaやGitHubといったシステム開発時に使うツールはすべて二要素認証にしています。
管理職は、システムの全体設計図がエンジニアから提出されたら、どんなデータがどこに流されてどこに格納されるのか、そこにはどんなアクセス制限がかかっているかに注目するといいでしょう。どんな個人情報を扱っているか、名前とクレジットカード情報が入力されるフロントエンドとデータが格納されるデータベースの間の通信は暗号化され外部から読み解けないようになっているか、データベースは自社のサービスか他社のサービスか、他社のサービスの場合は個人情報の取り扱いポリシーはどうなっているかなど、セキュリティの穴がないかをエンジニアと一緒に確認してください。