公開したくない情報はそもそもネットに上げない
- (2015-01-03 07:26:13)
失敗事例
2013年、公募によるあるイベントを開催した。審査員として外部の方、5名ほどの方が当社システムのアクセスすることになったので、id・パスワードでログインする彼ら用の専用ページを開設した。
イベント終了後、このページは削除されたが、なぜか残っていることに本日気づく。しかも認証が効いていない。全員が入れるページになっていた。サイトの移動やファイルの削除などで不意にオープンになったものと思われる。
当時は.htaccess .htpasswdによる簡易認証をかけていたと思うが、いまとなっては思い出せない。
・・・こういうことがあるので、個人情報・社内情報などをネットにアップすることは危険と再認識した。
今回はセーフだが、いつかはやる
今回は外部審査員の個人名が記載されていたExcelファイルが含まれていた。彼らはFacebookやネット活動で氏名を公開している人がほとんど。
また、内容は純粋に個人名だけなので、特に問題はないが、念のためネット検索しても、このページは検索されなかった。幸いどこからもリンクを張らなかったことで、Googleのクローラーが来れなかったと推測される。
ネットセキュリティの鉄則
リンクを張らず、認証システムにしておけば確かに、そんなに必死こいて認証を突破しようなんていう酔狂な人間はないはずだが、問題は時間がたてばシステム的にも運用的にも当初のルールは忘れ去られ、体制は変化し、砂に埋もれた隠し物が、自然の風雨でそのうち露呈するかのように出てくるという現実。
そもそもネットにアップする行為自体がリスク。「いつかは露呈しても問題ない物」だけにしておかないと、情報流失は避けがたい。ネットセキュリティの鉄則と心得るべし。