2009年半ばから2010年初頭にかけて、国内でGumblar攻撃が頻発した。国内の著名なWebサイトがFTPアカウントを奪われ、アクセスしてきたユーザーを不正サイトに誘導するよう細工された。現在も、攻撃は数多く見られている。

 ほかにもWebサイトには、クロスサイトスクリプティングやSQLインジェクションといった手口の攻撃、サービス不能(DoS)攻撃、さらには関係者によるデータの不正利用・持ち出しまで、様々な脅威がある。なかでも決済情報を扱うショッピングサイトでは、これらの脅威がもたらすリスクが大きい。しかも昨年末には改正割賦販売法が施行され、バックエンドに持つ顧客・決済情報の保護がいっそう重視されている。

 そこで今回は、「Webサイトのリニューアルに伴い必要となるセキュリティ強化」をテーマとして取り上げる。ある企業が創立30周年を記念し、既存のWebサイトをショッピングサイトとしてリニューアルするのに伴って、セキュリティを強化するケースを想定した(図1)。

図1●現状のネットワーク構成図
各店舗からは東京の本社ネットワークを経由してDMZおよびインターネットに接続する。社内ネットワークの構成に関しては「原則変更なし」の方針とした。
[画像のクリックで拡大表示]

 現状のネットワーク構成における社内ネットワークの構成を変更することなく、機能・性能・セキュリティの要件を満たし、利用者が安心してインターネットショッピングを楽しめるシステムの実現案を、TIS、京セラコミュニケーションシステム(KCCS)の2社に求めた。

ポイントはココ!
■改正割賦販売法への対応は「最低限守らなくてはならないセキュリティ」
■機密性、完全性、可用性のバランスと運用のしやすさが大切

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。