セキュリティ
プロバイダの方には申し訳ないが、実際プロバイダのセキュリティ管理はいい加減だ。
ユーザの個人情報の保護
プロバイダは料金徴収のために利用登録を行なうが、その時クレジットカード番号も含めて、ユーザの個人情報を取得する。
会社から顧客情報がクレジットカードごとに外部に洩れて犯罪に使われたと時々問題になる。
どこまで本当かわからないが、先日 SPAMmer が顧客情報を公開すると言って AOL を脅していた。
果たしてプロバイダは顧客の個人情報をどれだけ保護してくれるのだろうか。
例えば顧客がメイル爆弾に見舞われた時には、問題を解決して、送信者を追跡して、相手のプロバイダにクレームをつけて二度と送ってこられないように対処してくれるのだろうか。
例えば非差別的扱いを受ける可能性のある属性(*)を持つ利用者が、その属性についての匿名でのアクセスを続けたいと思っているとしよう。もちろんプロバイダ社員にさえその利用者情報を秘密にしたいと思っているだろうが、果たしてどれだけそれに応えられるのだろうか?(たとえば(*)の例として HIV キャリア、同性愛者などはどうか)
システム管理
そしてデフォルトでの信用を思いきり低下させているのが、このシステム管理上のセキュリティ確保だ。
とある格安ホスティングサービスを行なっているプロバイダは、月々 9,800円で Linux Box 一台まるごと貸してくれる。
もちろん root 権限もくれる。
知人が借りたので早速ネットワークモニタリングプログラムを持ち込んでコンパイル、root 権限で走らせたら、出るわ出るわ、となりのマシンの出しているトラフィックがまるみえなのだ。
つまり各ホストをダムタイプのハブで接続しているために、同一セグメント上のトラフィックの全てが見えるのだ。
これでは悪意のある客が一人でもいたら、プロバイダじゅうのパスワード丸わかりだ。
自分たちがどれだけセキュリティ保全に留意しても、プロバイダの無配慮のおかげで水の泡だ。
しかしこの格安プロバイダだけが駄目なわけではない。
日本のホスティングサービス片っ端から駄目なのだ。
こりゃいかんとシステム管理者にお願いもしくは問い合わせをしたくなる人も多いだろう。
しかしそれも無駄かも知れない。
この格安プロバイダに、新規の客の問い合わせとして「モニタリングの危険はないか?」と質問したところ、「心配には及ばない」という返事が返ってきた。
冗談ではない。
安全確保
僕はこれらについてどこまでプロバイダが信用できるのかわからない。
一体プロバイダはどこまで僕らのセキュリティを確保してくれるのだろう。
たまたま僕は知人にプロバイダがいるので、そこが安全に配慮してくれているかどうかを知ることが出来る。
しかし一般の顧客にはとても無理だ。
僕も、知らないプロバイダを補助情報なしで信用する気にはならない。
だから自分たちでサイトを持ち、そこで全ての安全性を確保しよう。
これが現状でもっとも安全な方法なのだ。
もちろん幾らか間違っている。
しかし現実は待ってくれないのだ。
7 July 1998.
This page is administrated by
Yutaka Yasuda. (yasuda@bakkers.gr.jp)