fragiler’s Security blog

会社でセキュリティ担当しています。まだまだ勉強中の身ですが、遊びがてら発見したセキュリティ関連のことがらを呟こうと思います。

Webアンケートサイトを立ち上げる時に確認すべきポイント

「Webアンケートサイトを立ち上げる時に気にしたほうがよいポイントって何だろう」というポイントまとめてみました。

 

企業ではいろいろな部門が情報発信や情報収集のためWebサイトを立ち上げると思います。

 

手っ取り早くユーザの声を集めたいときなどは、アンケート専用のWebシステムをサービス提供する会社を利用する場合も多いと思うので、その視点でまとめました。

 

特に「ユーザの個人情報を収集する」場合は、情報漏えいリスクを極力低減させるため、「これくらいは対応できてますよね?」と確認し、もし対応が不足している場合は依頼を控えたほう良いと思います。

 

-------------------------------------

【システムの保管場所】
・システムを設置しているデータセンターにおいて、各種対策(入退室管理、防犯管理、持込・持ち出し管理、耐震・耐水・耐火対策 等)が行われていること
 
【Webシステムのセキュリティ】
SSLによる通信暗号化が行われていること
・WAF、IPS/IDSによる不正アクセス対策が行われ、監視されていること
・サーバOS、ミドルウェア等へのセキュリティパッチ適用が適切に行われていること
・各サーバにおけるウィルス対策(リアルスキャン、定期スキャン 等)が行われていること
・サイトに対する脆弱性診断が年に1回以上行われ、脆弱性が発見された場合は対応されていること
 
【提供側の運用】
・サービス提供者側のシステムに対する作業履歴が保存され適時チェックされていること
・インシデントが発見された場合、速やかに契約者に対する連絡が行われること
・インシデントが発見された場合、契約者側からのログ提出依頼等の調査に協力すること
 
【契約者側(サイト管理者)の運用】
・サイト管理者のアクセス権をアカウント単位で適切に設定できること
・サイト管理者による作業履歴が保存され、適時チェックできること
・サイト管理者の認証について、パスワードの条件設定等による認証強化が行えること
・サイト管理画面アクセスについて、接続元IP制限等により接続制限が行われていること
 
【データの保存状態】
・アンケートデータを保存するDBが暗号化されていること
・システム内に保存されるログデータにアンケートの回答内容が書き込まれない仕様となっていること
・サイト閉鎖時などは、アンケートで回収したデータが確実に消去されること

-------------------------------------