何を守るのか

セキュリティとは、「何を守るのか」を明らかにするところから始まる。自分が持っているモノの中で他人が価値を感じるようなモノが何なのか明らかにするのが最初にする作業だ。
このシリーズでは、個人事業主が運営するような規模の会員制ショッピングサイトを例にあげ、セキュリティの考え方と具体的なシステム構築、プログラム作成を解説していくことにする。

他人にとって価値があるモノ

自分が持っているモノの中で、他人にとって価値があるモノとは何だろうか。

お金: これに価値があることは万人が認めるところだろう。それこそがお金の価値なのだから。
同等の価値があるモノとしては、クレジットカード番号や金融機関の口座番号がある。後者は、現金をおろすために暗証番号が必要になるので、暗証番号とセットでないと価値は低い。
ネットワーク上で現金を移動させることはできないので、クレジットカード番号などは特に狙われやすい。

個人情報: 個人情報そのものには大した価値はない。あなたが有名人でなければ、あなたの名前や住所を知っていたところで、他人にとって大した価値は生まない。あなたの個人情報に価値を感じるのはストーカーや変質者の類であろう。
しかし、個人情報と何かがセットになった場合、たとえば、あなたの年収や与信情報がセットになった途端に価値がアップする。あなたがお金持ちであれば詐欺や強盗の対象にされるだろうし、借金があればヤミ金のカモにされるだろう。また、振り込め詐欺（オレオレ詐欺）のように、盗んだ個人情報を利用して現金をだまし取る場合もある。
このため、マスメディアは個人情報漏洩について大げさな報道をすることが多い。そこで、企業・団体・個人の信用を失墜させる目的で、個人情報を盗み、ばらまくという場合もある。
個人情報については、ぱふぅ家のホームページにも専門コーナーがあるので、ぜひご覧いただきたい。

ユーザーIDとパスワード: システムにアクセスするには、ユーザーIDとパスワードを使うことが多い。しかし、これらは個人情報ではない。ユーザーIDが氏名やメールアドレスである場合は個人情報であるといえるが、多くのユーザーIDはニックネームであったり無意味な記号だ。
ユーザーIDとパスワードは、本人認証するための情報としての役割がある。これが盗まれると、本人になりすましてネットワーク資源を悪用したり、クレジットカードで勝手に買い物ができるようになる。その意味では、ユーザーIDとパスワードは、お金に匹敵する価値があるものといえる。

購買履歴、商品感想など: これらの情報には大した価値はない。しかし、個人情報とセットになると、その人がどのような商品に興味があるのか明らかになる。これは、あなたのショッピングサイトが欲しているＣＲＭ情報そのものなのだが、他のショッピングサイトも同様な価値を感じているはずだ。
その意味では、商品を検索した履歴にも価値がある。

その他、さまざまな情報がインターネット上を流れている。あなたのサイトにどのような情報が流れてくるか、１つ１つ吟味することで、そのうちの何を守るのか、明らかにしておこう。