個人情報をどう守るか｜NTT Com 個人事業～中小企業のお客さま Biz-IT「ビジネスIT化支援」サイト

ここから本文です

2005年02月14日

　今回は、ユーザーの立場で、インターネットにおいてどのように自分の個人情報を取り扱っていけばよいのかお話します。

　まず言えるのは、基本的に「個人情報の入力は必要最低限にとどめる」ということです。どんなにユーザーがセキュリティに気を配り注意していても、個人情報を取り扱う企業側に問題があれば、自分の個人情報は流出してしまいます。自分の個人情報をインターネットに入力するのは、必要最低限にとどめるべきです。また入力する場合には、その前に本当にそうする必要があるのか、もう一度自分に問いかけてみましょう。

　もちろん、100％クローズドにしていてはインターネットの利便性を十分に活用することができません。ですから個人情報を入力する際の基準をきちんと設けておき、入力の際には確認を徹底する必要があります。

　個人情報を入力する際に気をつけるべき点は次の3つです。

[1] URLは信用できるものか

[2] SSLによる暗号化通信が利用されているか

[3] 証明書の内容は信用できるものか

　[1] のURLの確認ですが、閲覧中のウェブページのURLはもちろんのこと、リンク先のURLの確認を行うことも大事です。リンクをクリックする前に、ブラウザのステータスバーに表示されるURLを確認する習慣をつけましょう。

　[2] のSSLによる暗号化通信が利用されているかどうかの確認は、クレジットカード番号など、自分にとってクリティカルな情報を入力する際には必須と言えるでしょう。
　ブラウザにインターネット・エクスプローラーを利用している場合、ブラウザ下部のステータスバーに【図1】のような鍵マークが表示されていれば、SSLによる暗号化通信が行われています。

【図1】

　しかし、SSLによる暗号化通信が行われているからといって信用できるとは限りません。SSLによる通信ではサイト側が自分の証明書をユーザーに対して発行し、その証明書を使って暗号化通信を行いますが、そもそも発行された証明書が信用できるとなぜ言えるのでしょうか？　自分の証明書が正しいものだと、自分で証明することはできません。そのため、証明書は普通、認証局と呼ばれる第三者機関に正しいものだと証明してもらう必要があります。

【図2】

　そのような場合には、ブラウザに表示された鍵マークをダブルクリックすることで証明書のプロパティを確認できます。
　【図2】を見てください。ここでの発行者が、すなわち認証局を示しています。もし発行者が発行先と同一のものであった場合、前述の「自分の正しさを自分で主張している」状態と言えます。そのような証明書を発行するサイトでは、SSLによる暗号化通信は確かに行われていますが、企業のセキュリティに対する取り組み方を疑う必要があると言えます。

　今年になって国内で話題になっている手口としてPhishing（フィッシング）があります。Phishingとは、金融機関などからのメールを装い、ユーザーをニセのウェブページへ誘導して個人情報を入力させる詐欺行為の一種です。Phishingの語源は、ご想像の通り「fishing」ですが、なぜ「f」でなく「ph」なのかというと、その手段が洗練されている(sophisticated)ためだと言われています。

　このように個人情報を狙った詐欺行為も現れ、さらにその手段は巧妙化していく一方です。今後もユーザーは、これまで以上に自分の個人情報に気を配っていく必要があります。

※フィッシング詐欺に関する詳細は、こちらをごらんください。
　【インターネット法制度を知る！】第3回　フィッシング詐欺にご用心

■関連コンテンツ

	インターネット法制度を知る！
	これならわかる！ネットワークとセキュリティ対策
	一から始めるセキュリティ講座

村上純一（むらかみじゅんいち）

株式会社ラックコンピュータセキュリティ研究所に勤務。研究員。
セキュリティコンサルタント業務や、ソフトウェアの脆弱性を発見する業務に携わる。

■ホームページ作成サービス

ホームページの開設から更新までパックでご提供！

■ショップ構築おまかせパック

インターネットショップ開設も月額8,000円（税込8,400円）から！

他の連載はこちら

このページのトップへ

IT活用情報