求められるセキュリティリスクへの対応
昨今、セキュリティ対応に求められるレベルは高まり続けています。毎日のニュースを見ていれば、日常的に情報漏洩や、セキュリティ上のインシデントが発生していることを嫌でも目にします。システムを作り、運用するということは、こうしたセキュリティへの対応にも目を配る必要があります。
寮管理システムで預かりうる個人情報
寮管理システムも個人情報と無縁ではありません。クレジットカード情報のような決済情報を扱うことは滅多にないと思いますが、それでも非常にセンシティブな情報を扱うことには変わりありません。以下に、寮管理システムが扱うことが多い個人情報の例を記載します。
申込者の個人情報
入寮者の情報は管理上細かく取得する必要があるため、氏名はもちろん、生年月日や住所、連絡先など、様々な情報を取得することが一般的です。また、留学生寮であれば国籍もあわせて取得することが多いと思います。これらの個人情報の取り扱いに注意が必要なのは言うまでもありません。
保証人の個人情報
入寮申し込みの際に、保証人の情報も取得している場合には、保証人に関する情報も重要な個人情報になります。氏名や住所、生年月日や続柄など、その個人に関する情報を多く含むため、取り扱いには注意が必要です。
生活習慣のような関連情報
直接的には個人情報とは判定されなくとも、個人情報と紐づくことで非常にセンシティブな情報になり得るのが生活習慣や考慮事項のような関連情報です。アレルギー情報や起床時間、就寝時間、喫煙、飲酒習慣や性的嗜好など、取得する情報によっては扱いに注意する必要があります。
最低限必要なセキュリティ対策
システムを構築する上で非常に様々な注意事項があり、また、対策すべき事柄は非常に多岐にわたります。すべてをご紹介することはできませんが、ここでは代表的なもののうち、最低限対応すべきセキュリティ対策について概説しています。
適切なデータの暗号化
情報漏洩のニュースの際に、報じられることが多いのが、漏洩した情報の暗号化の有無です。データベースの情報全体を暗号化することはそこまで一般的ではないかもしれませんが、ログインに必要なパスワードは、不可逆的な暗号化を施すのが一般的です。これに対して、そうした対策を行わない状態を「平文で保存する」と表現します。
データベースの情報が万が一漏洩または悪意のある第三者から参照できる状態になったとき、平文で保存されているとパスワードをそのまま参照できてしまいます。パスワードは他のサービスでも使いまわされることも多く、二次的な被害につながります。もちろん、データベースの内容が漏洩しないような対策が必要なのは言うまでもありませんが、漏洩した際にも被害の拡大を抑えたり、被害拡大のスピードを鈍化させるための対策として必ず行うべきです。
SQLインジェクション、CSRF対策やXSSなどの脆弱性対策
情報漏洩のきっかけになる脆弱性にはいくつも種類がありますが、その中でもSQLインジェクションやCSRF、XSSは非常によく使われる手法です。SQLインジェクションの脆弱性があった場合には、悪意のある操作者にデータベース上のデータを自由に参照されてしまうリスクがあります。CSRF(クロスサイト・リクエスト・フォージュリ)の脆弱性があった場合には、悪意のある人に予期せぬ処理を実行されてしまうリスクがあります。また、XSS(クロスサイト・スクリプティング)の脆弱性があった場合には、不正なスクリプトが実行されて被害が発生するリスクがあります。
これら以外にも、OSコマンド・インジェクションやディレクトリトラバーサル、HTTPヘッダ・インジェクションやメールヘッダ・インジェクション、クリックジャギングにバッファオーバーフローなど、様々な脆弱性リスクがあります。こうした脆弱性をシステム内に作り込んでしまわないように注意してください。
適切な権限管理
システムを利用する人が、他の人の情報を見れたとしたら大問題です。もちろん、管理者であれば仕様によってはそうすべきときもありますが、一般の利用者は自分の情報だけを参照できるようにすべきであり、URLを変更したり、直接URLを入力したりしても、見るべきではない情報にはアクセスできないようにすることが必要です。
誰がどの情報にアクセスできるのか、編集できるのか、という視点で権限を整理し、その通りにシステムに権限管理を組み込むことが重要です。
要件に応じて検討すべきセキュリティ対策
二段階認証、二要素認証の実装
寮管理システムであれば、何かしらのログイン機能を実装することが一般的です。ログイン機能を実装することで、操作している人が誰か、を判定できるのですが、たとえそれが本人とは違う悪意ある人からのログインであったとしても、システムからはログインに成功していれば本人とみなすことしかできません。
こうした場合に有効になるのが二段階認証や二要素認証です。通常のIDとパスワードによる認証を一段階認証とすると、それにワンタイムパスワードのような追加認証を設けたのが二段階認証です。二要素認証というのは、異なる要素、例えばパソコンでの操作に加えて、ショートメッセージやスマートフォンアプリによる認証を追加する等、操作している端末や方法の種類をわけて強化するという方法です。
いずれにしても、IDとパスワードだけよりも、「本人にしか成功しない」状態を作り上げることには非常に効果があり、多くのサービスで様々な方法で実装されています。例えばメールでのワンタイムパスワード認証の追加だけであればそこまで大きな工数は不要ですので、サービスの要件にあわせて検討してみてください。
IPアドレスによるアクセス制限
寮管理システムを操作する管理者は、基本的には固定の事務所にいることが多いと思います。事務所無しのワークスタイルであればなかなか難しいかもしれませんが、固定の事務所環境で、ネットワークのIPアドレスも固定の場合、そのIPアドレスに基づいてアクセスを制限することができます。
システムを利用する人の中でも、管理者は非常に強い権限を持つことが一般的で、その管理者として悪意ある人にアクセスされてしまうと、多くの情報が漏洩の危機に瀕するのは想像に難くありません。こうしたリスクを低減する策として、固定の場所にその操作を限定することで、その場所にいない人にはアクセスできなくすることができます。
高リスク操作の通知
システムを管理する中で、管理者向けにダウンロード機能を用意することが多くあります。他部署への説明資料用であったり、統計資料の作成であったりと、用途は様々です。ダウンロード機能は便利な反面、簡単に個人情報を手元に保存できてしまうので危険な行為でもあります。実際、個人情報の漏洩事件では、内部者による情報持ち出しのケースも少なくありません。
悪意ある外部の人による不正アクセスではなくても、内部者による漏洩のリスクも想定する必要がある場合、こうしたダウンロード操作を通知する機能を実装することも可能です。高リスクの操作が行われたことがわかれば、その操作が正当なものなのか、不正行為につながりうるおかしなものなのかを検知しやすくなります。
セキュリティはしっかり、バランス良く
セキュリティというのは対策をしてマイナスになることはありません。もちろん、運用上の手間が増えたり、細かい権限管理が必要になったりと手間が増えることもありますが、それでも対策する価値は十分にあります。かといって、森羅万象のリスクに対応するとコストが膨らみ続けるのも事実です。どこまでのリスクを想定するのかをしっかり議論し、良いラインを見極めるのが現実的だと思います。
認証自体は共通のSSO(シングルサインオン)を用いている場合もあると思います。そういった場合には対策の範囲が変わってきます。寮管理システム自体の責務の範囲内でメリハリをつけたセキュリティ対策をどうすべきか悩まれたならお気軽にご相談ください。リスク評価と具体的な対応策の両面でご助言できればと思います。