レンタルサーバ業者によって違う利用者のデータ保護 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

レンタルサーバ業者によって違う利用者のデータ保護

製品・サービス・業界動向 業界動向

 Scan Incident Report では、レンタルサーバ事業者8社に対して調査を実施し、事業者によって異なる利用者データ保護の考え方などセキュリティに対する姿勢を整理してレポートした。
 「情報漏洩の責任はどこにある? サーバ事業者へのアンケート結果」と題するレポートがそれである。

 個人情報漏洩事件が続いているが、このレポートによると、どのレンタルサーバを使用するかによって事件発生の可能性が大幅に違ってくる。


>> 違うレンタルサーバを利用していれば起きなかった可能性も高い

レポートでは冒頭で、下記を各事業者に質問している。

「レンタルサーバ(主としてバーチャルドメイン)利用者に対して、特定のディレクトリ以下が自動的にすべてオーナー以外は見ることができない仕組みを提供しているか?」

 この問いに対して、提供していると答えた事業者は、約半数。逆にいうと半数のレンタルサーバには、こうした防御機構はないことになる。過去に発生した個人情報漏洩事件では、レンタルサーバ上に個人情報を放置していたケースもあったが、このようなケースでは、防御機構をもつレンタルサーバ事業者を利用していれば事件にはならなかった可能性が高い。


>> 利用者が考えるよりも大きな利用者側の管理責任

 レンタルサーバは、手軽に利用することができるサービスであるが、事件などが発生した場合の責任は軽視できない。この責任に関して、利用者側の認識とレンタルサーバ事業者の認識は必ずしも一致していない可能性が今回のレポートには見て取れる。

 レンタルサーバ事業者の多くは、WEBサーバに顧客情報や営業情報をおくことの危険性をじゅうぶんに認識しているものの、実際に利用者側がどのような情報をおいているかのチェックまでは行なっていない。(そこまで行なうのは逆に越権行為となる)

 プロであるレンタルサーバ事業者がこうした危険性を認識しているのはあたり前であるが、利用者側は必ずしも認識しているわけではない。ネットでは、当たり前のように個人情報をWEBにおくアンケートなどが行なわれており、個人情報をWEBに保存するフリーのCGIも配布されている。こうした現状を目にしている利用者が個人情報をWEBにおく危険性と責任の認識が甘くなるのも無理からぬことといえる。
 利用者への啓蒙は必須のことと考えられる。


>> 利用者の啓蒙とともに事業者側の情報提供も必要

 利用者自身が危険性や責任をじゅうぶんに認識することも重要であるが、レンタルサーバ事業者側からの情報提供も今後は重要になってくると考えられる。
 例えば、前述のような防御機構の有無などは、WEB上のサービス説明だけではわからない。
 レンタルサーバの説明で用いられる言葉も事業者によって異なる表現を用いているため、利用者が、内容を正しく把握し、適切なサービスを選択するのが難しい。
 利用者と事業者のこうしたギャップを埋めることによって、利用者が自分自身のニーズや考慮すべき危険性、負うべき責任にあった事業者を選べるようになると思われる。

Scan Incident Report
http://vagabond.co.jp/c2/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. ダークウェブからAIで情報収集(DTRS、IISEC)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×