cookie保護の限界

cookieの保護には限界がある？

　不特定多数の方に開放したホームページ上で販売を行うネットショップ・オンラインショップにおける電子商取引では、ユーザーの入力情報を保護する事が必須であり、更に外部からの攻撃に備え十二分な対策を講じる必要があります。

　cookieはユーザーのローカルマシンにセットされますから、システム側だけでなくユーザーのPCから悪意を持って搾取される可能性もあります。

　不特定多数のユーザーのPCのセキュリティについては、システム側ではどうする事もできませんから、どれだけシステム側が完璧であったとしてもcookieを搾取される事により、なりすましやセッションハイジャックの可能性があります。

　また、脆弱性の全くない完璧なシステムが理想ですが、人間が作るものに完璧はありませんから、ここにも穴ができる事になります。

　更にある程度堅牢な仕組みを作り上げたとしても、そもそも人間が考え出したものですから、絶対に突破できない、解読できないといった「絶対」は考えにくいという点もあります。

　だからと言ってシステムにおけるセキュリティをないがしろにしていいわけではありません。

　システム側としては最善を尽くし、少なくともここまでにご紹介したセキュリティ対策は最低でも施す必要があります。

　なぜならシステム不備が原因で個人情報等が漏れた場合、まず責任が問われるのは運営者側であり、仮にユーザーのPCのセキュリティが甘かったとしてもそれを証明する事も、証明できたとしても実質責任を免れる事も難しいだろうからです。

　だからこそ、インターネット上で物販やサービス提供を行い、個人情報を取り扱う事になるショッピングカートを採用し、稼働させる為には、それ相当の心構えが必要になるのです。

　「心構え」というのは、「セキュリティは確保しきれない部分がどうしても残るけど、どこかで見切りをつけて(訴訟を起こされるなどの)リスクを負う覚悟、何かあっても仕方なしと腹を括る」事です。

　この状況を打破する為には、業界標準となる規格が必要ですが、cookieが考案され標準化されてからずいぶん経った今も完全、完璧、堅牢な仕組みは残念ながらありません。

　ショッピングカートに必要な品質確保する為の大前提の対策。

　セキュリティを考える上でショッピングカートCGIの対策を講じただけでは不足です。

　ショッピングカートCGIで利用する複数のファイルと公開するウェブサーバ上のセキュリティ設定とディレクトリ保護、ウェブサーバへのアップロード、ターミナルエミュレータ利用におけるセキュアな接続なども必要です。

　また、ログインID、パスワードはセキュアなウェブサーバ、セキュアなFTPソフト、セキュアなターミナルエミュレータにおいても徹底管理が必須です。

　ネット上でショッピング機能を利用する場合、「一連の操作をしているユーザー」を特定する為にはcookie／クッキーの設定が不可欠です。

　ここまでのセキュリティは最低限必要であり、cookieの実装によりショッピングカートを一応組み込む事はできますが、残念ながら完全にセキュリティが確保されるわけではありません。

　また、善意のアクセスの拒否か、またはセキュリティ確保の二者択一を迫られるケースもあります。

2004-2008-someday