情報セキュリティシンポジウム
「スマホとDBの3つの関係 A・B・C」に参加しました。講演者は複数でしたが、私が気になった所を纏めていますので、実際の講演順番とは異なります。
BYOD
職場に自分のデバイスを持ち込む(BYOD: bring your own device)ことについて。講演では、BYODで持ち込まれた電子機器を経由してウイルスに感染したり情報が漏洩したりすることがある、というような話がありました。ウェブ制作会社の場合、BYODはどうでしょうか?
ウェブ制作だとスマホで閲覧確認しますすね。会社の備品としてiPhoneやAndroid端末を用意して検証するのは理想ですが、実際には難しいでしょう。となるとスタッフの私物のスマホで動作確認する、というケースはどうしても出てくるでしょう。
プライバシーポリシー
スマホアプリでは、個人情報にアクセスするものがあります。そのようなアプリでは、プライバシーポリシーが記載されているはずです。実際にはプライバシーポリシーが無いもの、記述内容が分かりにくいもの、プライバシーポリシーへの導線が良くない(利用者が確認しにくい)もの、などがあるそうです。
利用前にプライバシーポリシーの詳細をしっかり読む、というのは理想ですが実際にはそうする人は少ないでしょう。とはいえ、スマホには自分の情報だけでなく、友人知人の電話番号等も保存されていることも多いでしょう。そう考えると、パソコンの場合よりも慎重にならなければいけないな、と思いました。
jailbreak
iphoneは、apple社が販売しています。ユーザーが無茶なことをしないようにメーカー側で制限をかけています。この制限を突破することをjailbreak(脱獄)と呼んでいます。法律上は、jailbreakそのものは犯罪ではないらしいです。
しかし、jailbreakした端末で、アプリケーション等を不正に操作する、というケースはあるようです。なので、jailbreakした端末かどうか、をアプリ制作側でチェックするのも検討した方が良いかもしれません。講演ではjailbreakをチェックする方法がいくつか紹介されていました。
ログを取る
セキュリティとして、ログを取ることの重要性が強調されていました。とある電子商取引サイトが不正な購入(偽造レシートを作成する)で被害を受けたのですが、そのサイトでは取引ログを取得、保存していたため、被害は受けたものの、捜査に役立ち、検挙に繋がったらしいです。一方で、データベース管理者にアンケートした所、ログを保存していないケースも結構あるらしいです。
確かに、ログを取得しても、直接収益に繋がるわけではありません。なので、どうしてもおろそかになりがちです。しかし、被害を受けた後の対処に重要ということなので、これは必ずとっておくべきですね。ログを取るという作業はどのアプリケーションでも似通っているので、ライブラリーやフレームワークを上手く活用して、制作コストはかけずに実装できると良いかもしれません。