2009年半ばから2010年初頭にかけて、国内でGumblar攻撃が頻発した。国内の著名なWebサイトがFTPアカウントを奪われ、アクセスしてきたユーザーを不正サイトに誘導するよう細工された。現在も、攻撃は数多く見られている。
ほかにもWebサイトには、クロスサイトスクリプティングやSQLインジェクションといった手口の攻撃、サービス不能(DoS)攻撃、さらには関係者によるデータの不正利用・持ち出しまで、様々な脅威がある。なかでも決済情報を扱うショッピングサイトでは、これらの脅威がもたらすリスクが大きい。しかも昨年末には改正割賦販売法が施行され、バックエンドに持つ顧客・決済情報の保護がいっそう重視されている。
そこで今回は、「Webサイトのリニューアルに伴い必要となるセキュリティ強化」をテーマとして取り上げる。ある企業が創立30周年を記念し、既存のWebサイトをショッピングサイトとしてリニューアルするのに伴って、セキュリティを強化するケースを想定した(図1)。
図1●現状のネットワーク構成図
各店舗からは東京の本社ネットワークを経由してDMZおよびインターネットに接続する。社内ネットワークの構成に関しては「原則変更なし」の方針とした。
[画像のクリックで拡大表示]
現状のネットワーク構成における社内ネットワークの構成を変更することなく、機能・性能・セキュリティの要件を満たし、利用者が安心してインターネットショッピングを楽しめるシステムの実現案を、TIS、京セラコミュニケーションシステム(KCCS)の2社に求めた。
ポイントはココ!
■改正割賦販売法への対応は「最低限守らなくてはならないセキュリティ」
■機密性、完全性、可用性のバランスと運用のしやすさが大切
■改正割賦販売法への対応は「最低限守らなくてはならないセキュリティ」
■機密性、完全性、可用性のバランスと運用のしやすさが大切