たくさんの会社とクラウドサービスに関わる「情報セキュリティ対策」のやり取りをしてきました。
特にわたしはヨーロッパの外資系企業は、情報セキュリティに対する要望が高いイメージがあります。
なかでも、某スウェーデン会社とは、セッションタイムアウトに関わるやり取りを何度もしたのが強く印象にあります。
セッションタイムアウトは、クラウドサービスを含むオンラインサービスで、一定期間操作が行われなかった場合に自動的にセッション(通信の開始から終了まで)を終了する仕組みを指します。
セッションが継続されている間、システムはセッションIDを生成し、Cookieに保存します。Cookieに保存したセッションIDを読み取ることで、その通信がどのユーザーからのもので、どういった処理状態にあるのかを把握することが出来ます。
セッションタイムアウトを設定することで、利用者がログアウトを忘れた場合でも、一定時間後にセッションが終了するため、他の人がそのデバイスを使っても、セッションを再利用することができません。不正アクセスの防止につながります。
セッションを悪用した攻撃としてセッションハイジャックが知られています。セッションハイジャックは、他人のWebサービスのセッションを乗っ取る攻撃です。
セッションハイジャックにはいくつかの種類があるのですが、そのなかのひとつ「セッションフィクセーション」は攻撃者が入手したセッションIDをターゲットとなる利用者(被害者)に使わせる攻撃です。この攻撃はセッションIDを固定化することで発生するのが特徴です。
セッションフィクセーションに対する対策としては、ウェブサービスにおいてログイン処理をする前(アクセス段階、上図では①)と、ログイン処理時(上図では④)で異なるセッションIDを使うことで防ぎます。
セッションハイジャックに対しては、セッションタイムアウトを短く設定することで、セッションを悪用した攻撃を軽減することが可能です。
わたしが関わっていたクラウドサービスは、セッションタイムアウトの時間を利用者が自由に設定することが出来ません。
時間を区切った、オプションによる選択でした。
ただ、やり取りをしたスウェーデン会社は、オプションにはない、短いタイムアウト時間を要望してきました。
- なぜ、セッションタイムアウトが長いのか?
- なぜ、セッションタイムアウトを自由に変えられないのか?
- いつから、セッションタイムアウトが短くなるのか?
- セッションタイムアウトが長い場合、リスクをどのような手段で回避するのか?
文書ベースですが、英語でのやり取りを何度も行ううちに、ヘトヘトになった記憶です。
スウェーデンに限らず、ヨーロッパの会社は「情報セキュリティ対策」を非常に重視してます。
その理由のひとつは、2018年5月に施行された GDPR(一般データ保護規則)があるでしょう。
GDPRは個人データの保護を強化し、企業に厳格なコンプライアンスを求めています。
GDPRは、日本でいえば個人情報保護法にあたりますが、対象となる情報範囲が広く、罰金も高額なのが特徴です。
2022年には、日本企業でもGDPRの違反により初の罰金が科せられたことで話題になりました。
NTTデータのスペイン子会社が、欧州連合(EU)の個人データの厳格な管理を求める規則に違反したとして同国当局から処分を受けたことが10日分かった。取引先の顧客情報が漏洩した問題で過失があり、6万4000ユーロ(約940万円)の制裁金を科された。
データの管理を厳格化する一般データ保護規則(GDPR)が2018年に施行されて以来、日系企業への処分の公表は初めてとみられる。
~2022年11月10日(日本経済新聞)
この事案では、個人データの「完全性及び機密性」の違反が指摘されました。
「完全性」は情報セキュリティの3要素(CIA)のひとつで、情報や情報の処理方法が、正確で完全であるようにすることです。個人情報を管理するシステムは、改ざんを未然に防止するとともに、改ざんの有無をチェックできるようにする必要があります。
「機密性」も情報セキュリティの3要素(CIA)のひとつです。許可された者だけが情報にアクセスできるようにすることです。アクセス権をもたない者からのアクセスを遮断し、情報改ざん、不正情報の混入や漏えいを防止することで機密性を確保することをシステムに求めてます。
日本から見ると、欧米を外資系として一括りにするイメージがあります。
わたしは欧米といっても、ヨーロッパの会社とアメリカの会社は、情報セキュリティに関わる規制や、ビジネスの習慣で差があると思います。
ヨーロッパは個人に付与する権利をとても重視していて、どの企業も厳しい規制を敷いてます。一方、アメリカの会社は州によって規制が異なるのか!?千差万別のイメージです。
