ウェブアプリでPIIを守る

さらに、各国は憲法の規定や国ごとの法律の傾向に合わせてPIIの定義を行っています。欧州連合は指令94/95/ECに基づき、人の社会的、心理的、感情的、文化的、身体的な特徴に特化した情報のみを対象としています。一方、オーストラリアでは個人情報の定義が広く、事実かどうかにかかわらず個人を特定できるデータや意見も含まれます。

PIIには敏感な情報とそうでない情報があり、その違いは情報の詳細さや、社会的、経済的、身体的な安全に与える影響度によります。敏感な情報は暗号化などにより隠され、不正なアクセスを防ぐために送信されることが多いです。PIIという性質上、サイバー犯罪者や場合によってはセキュリティ担当者の標的になりがちです。つまり、個人のPIIはその安全度を示すとも言えます。デジタル化が進む現代では、PIIの性質上、その安全を守るためのさまざまな仕組みが整えられています。ウェブアプリが取得するデータ量を考えると、こうした対策は欠かせません。

ウェブアプリでPIIを守る

前述のとおり、ウェブアプリは利用者のPIIを守るための適切な対策を講じる必要があります。サイバー空間におけるセキュリティや身元確認の重要性が、PIIを守る必要性を一層高めています。これは、ウェブアプリが取得するPIIの量が多い場合に特に顕著です。これは、データセキュリティやプライバシーポリシーの基本的な考え方の一つです。ウェブアプリにおいては、誕生日、社会保障番号、Eメールアドレス、クレジットカード番号、電話番号、性別、パスポート番号、写真などがPIIとして扱われます。

ウェブアプリのPIIを守る方法

ほとんどのサイトはデータベースの侵害やそれに伴うデータ損失のリスクに晒されています。過去には、高いセキュリティ対策が施されたウェブアプリでさえ、予期せぬデータ損失が報告されました。自社サイトで同様の事態を防ぐため、データ攻撃への緩衝手段を検討しましょう。以下の各対策はどれも重要であり、攻撃の性質上、どれか一つでも抜かりがあればデータ損失につながる可能性があります。

• サイト上のPIIを定義し、特定する

一見簡単そうに思えますが、まずはウェブアプリ上で扱うべき敏感な情報を明確に定義することが重要です。これは当たり前のことのようですが、しばしば見落とされがちです。定義されていなければ、いかに守るかも難しくなります。また、可能な限りこれらの情報を集めない方が望ましく、すべてを一箇所に集約すると、想定外の侵害時に大きなリスクとなります。

• ハイパーテキスト転送プロトコルを使用する

もちろん、サーバとサイト間の接続は第三者の干渉を受けやすいです。初期のウェブサイト開発や運営の時代には大きな問題となりましたが、現在ではほとんどのサイトがハイパーテキスト転送プロトコルを用いて接続を暗号化し、第三者による盗み見を防いでいます。

その結果、サーバとサイト間の情報交換は送信者と受信者のみが確認できるようになります。たとえば、Whatsappなどのメッセージングアプリでは、メッセージがエンドツーエンドで暗号化され、送信者と受信者以外には内容が分からない仕組みです。

• あまりに敏感な情報は隠す

このPIIを守る対策は、ウェブアプリのバックエンド設計に組み込むことができます。サイトのコードにより、一部の情報を隠し、所有者のみが閲覧できるよう設定できます。例えば、社会保障番号、パスワード、銀行認証番号、クレジットカード情報などは、保護された入力欄に配置され、特別な指示がない限りアスタリスクで表示されます。

• 第三者サービス向けにPIIをフィルタリングする

インターネットは多数のコンピュータやサーバが連結したネットワークです。このため、サイトは単独で機能することができず、最適な運用のために他社プラットフォームのサービスを利用する必要があります。たとえば、ECサイトは決済を行うウェブアプリの第三者サービスを組み込む必要があります。あるいは、他のウェブアプリを通じた登録が可能な場合もあります。GIT Hubは、Twitterなどのソーシャルメディアを利用した登録を許容しています。

しかし、このような第三者連携はサイトに脆弱性をもたらす可能性があります。そのため、サイトは第三者と交換する情報の種類をしっかりとフィルタリングできるようにする必要があります。さらに、どのアプリにアクセスを許可するかについて管理者が慎重に判断することで、サイト上のデータの流れを監視し、データ侵害が発生した際に迅速に犯人を特定できるようになります。

• データの保持期間を短くする

データを長期間保持することは、収集しないのと同じ理由から避けるべきです。PIIを一箇所に保存すると、侵害が発生した場合に大量の情報が同時に失われるリスクが高まります。サイトのデータ保持能力に論理的な制限を設けることが最も安全な方法です。さらに、ウェブアプリで「データ不保持ポリシー」を採用し、PIIをそもそも保存しない対策も有効です。

• 従業員への情報アクセス許可は厳格に行う

多くの企業では、当然ながら従業員にデータベースへのアクセスが許可されています。これは必要な措置ですが、場合によっては脆弱性となる恐れがあります。PIIへの攻撃を防ぐためには、従業員にデータベースアクセスを許可する際の基準を厳しく設定することが不可欠です。つまり、従業員であっても、一定の安全基準を満たさなければアクセスできないようにし、取り扱う情報の敏感性に応じて基準の厳しさを高める必要があります。

• 多要素認証

これは、サイト上のデータを守るために複数のセキュリティ層を設けるシステムです。多くの適正なウェブアプリがこの方法を採用しており、名前とパスワードの登録後、追加の情報を求めることができます。この秘密情報は、サービスへの不正アクセスが試みられた際に確認されます。一見単純な方法に見えますが、攻撃者は高度な知識を必要とせず、PIIへの侵害を試みる場合があるため、この個人情報は特定の利用者のみが管理すべきです。

ユーザーの最後に

PIIデータ守りの課題

サイト運営の他の活動と同様に、PIIデータを守る上でもいくつかの課題が存在します。

• ‍キーの再利用に関する問題

キーの再利用とは、ウェブ開発でのコードや、データサイエンス・機械学習でのデータ、さらにはデータベースでのキーなど、特定の部分をコピーして再利用するプロセスです。これにより、サイトに潜在的な問題が生じる恐れがあります。攻撃者は同じキーを利用して、アクセス情報を提示することなくセキュリティ対策を回避しようと試みます。手法は単純で、リスト内の派生キーを使ってPIIの解読を試みるだけです。

必要なのは、どのキーを使うべきかを知ることだけです。これにより、強引な攻撃が可能となり、セキュリティ詳細なしで突破される危険性が生じます。特に、すべてのデータベースで同じキーを使用しているサイトでは、非常に大きな脅威となります。まるで、すべての金庫に同じ暗証番号を使っている場合、一つの番号が解かれると他の金庫も危険にさらされるのと同じ状況です。

• ‍キーのローテーションに関する問題

適切なデータベース管理には、キーの定期的な更新が必要です。これはデータを守るための方法であり、さまざまなバージョンの暗号キーを保持し、対応するデータのバージョンと合わせる必要があります。一見良い方法に思えますが、攻撃者はこの手法を利用してPIIデータベースに侵入する可能性があります。攻撃者はアプリに登録し、秘密キーが既定のものではなく、下位のキーが存在することを確認します。その後、別のキーを用いて再度アプリに登録することが可能になります。

さらに、攻撃者は以前使用した秘密のパスワードと新たな派生キーを利用してPIIの解読を試みます。この場合、派生キーは秘密情報と設定から導き出されます。攻撃者は、新しい派生キーをもとにアプリに再登録することで、そのキーを特定できます。この問題には、より堅実な派生関数の使用で対策が可能です。 

‍

PIIセキュリティ対策

これらは、各企業がサイト上のデータ損失や不正なデータの移動を制御するために講じるべき対策です。

• サーバからサイト（もしくはデータベース内の異なる箇所間）へデータを移動する際、できるだけ詳細を省く。これはデータのマスキングと呼ばれる。
• 企業や個人が利用者のPIIにアクセスするのを防ぐため、サイバウォールを設置できる。
• 非常に敏感なデータを監査し、誰が動かしてもその動きを管理する。通常、利用者への警告、アクセス遮断、新たなアクセスの通知、そして必要に応じた特定サービスの制限で対応する。
• 利用者の活動を追跡し、（潜在的な）データ侵害を確認する。
• データの動きを監視し、不規則なパターンを検出する解析システムを設置する。これにより、異常な動きから侵害箇所を容易に特定できる。

結論

PIIの重要性から、サイトは常に攻撃や不正アクセスの標的となる可能性があります。特に大量の利用者データを扱うウェブアプリではそのリスクが高まります。これらのデータを守るために、複数のセキュリティ層を設け、侵害の試みに速やかに対処できる体制が必要です。場合によっては、利用者に見せないようにする（データマスキング）一方、必要に応じてアクセス可能にすることも求められます。

こうした場合、PIIの暗号化技術が重要となります。サーバからウェブアプリ、データベース内の移動、または利用者からサーバへのデータ転送時に、データはキーによって暗号化されます。サーバは、自身のみが知る暗号キーでデータを解読します。しかし、暗号化や復号の段階においても、攻撃者は抜け穴を見つけ、サーバ側または利用者側からデータを盗み出す場合があるため、データ転送時の隙を補うためにサイトは十分に守られる必要があります。