データ送信、情報管理 及び サーバーのセキュリティ対策について

EcoJobサイトでは、「就職・転職」という、皆さまにとって重要な情報を取り扱う関係上、登録ユーザーの皆さまの個人情報の取り扱いをはじめ、各種情報管理と安全対策には厳格な注意と対策をもって、サイト運営しています。


SSL対応
a YAHOO!JAPAN company First Server ロゴ
このHPはファーストサーバー社(ヤフーグループ)のサーバーセキュア化サービスにより、個人情報はSSL暗号化通信により保護され送信されます。
概要
SSL は簡単に言うと、データを暗号化してやり取りするやり方の決まりです。
SSL では、公開鍵暗号 (RSA) と秘密鍵暗号を併用しています。公開鍵暗号を使った暗号化・復号には時間がかかるので、より高速な秘密鍵暗号の鍵 (key) を公開鍵暗号で渡すようにしています。

暗号の必要性
インターネットでは現在 IPv4 というプロトコル(通信手順)が使われていますが、暗号化が全く規定されていないため、回線にラインモニタやパソコンなどを挿入すると非常に簡単に中身を覗くことができます。
インターネットは各サイトの相互接続によって成り立っていますので、接続先が遠ければ遠いほど中継サイトが増えます。自分が全く知らないところを通ることも少なくありません。そうなってくると、パケットを覗かれる可能性も次第に増えていきます。安心できるかどうかは、 通り道になっているサイト全てをどこまで信用するかにかかってきます。
インターネットはどこにどんな人がつながっているかわかりませんから、クレジットカード番号などの大切な情報を送る場合には用心したほうが良いわけです。


安全性
絶対に不正解読不能な暗号というのは存在しません。もちろん、暗号文を正しく復号するには正しい鍵を知る必要がありますが、鍵の種類は有限なので、すべての鍵を順に試して行けばいつか必ず正しい鍵にたどり着けます。しかし、正しい鍵にいき着くまでに非常に長い時間(たとえば 1000 年)かかるなら、暗号の目的は十分達成できることになります。
一般に、鍵の長さが n [bit] ある場合の 鍵の種類は 2n ですから、鍵が長ければ長いほど種類が増えて解読が困難に(解読に時間がかかるように)なっていきます。たとえば 40 ビットの長さの鍵なら最大で約 1 兆通り、56 ビットなら約 7 京通り、64 ビットなら約 1844 京通り試すといった具合です。
暗号化の方式の一つに RC4 というのがありますが、日本で広く普及しているブラウザでは鍵の長さを 40 ビットにした RC4-40 というのがよく使われています。この RC4-40 で暗号化された文書は、しらみつぶしに鍵を調べていった場合解読に平均 64 [MIPS 年] かかると言われています。
[MIPS 年] というのは計算量の単位で、計算機の性能 [MIPS] と動かし続けた時間 [年] を掛け合わせたものです。例えば 64 [MIPS 年] なら 1 [MIPS] の性能の計算機を 64 [年]、あるいは 32 [MIPS] の性能の計算機を 2 [年] 動かし続ける、といった具合です。


SSL を使うには
Netscape Communicator や Internet Explorer など,SSL に対応したブラウザがあれば OK です。
SSL を使うために特別の設定をする必要はありません。対応しているブラウザを使っていれば、デフォルトの設定のままで必要なときには自動的に SSL が使われます。

EcoJob側の対応
EcoJobは 128 ビット RC4 や 168 ビット Triple-DES などの非常に強力なものを含め、SSL3 で規定されているすべての暗号化に対応していますので、それらに対応しているブラウザをお持ちなら、通信内容を強力に保護することができます。

表.EcoJobで使える主な暗号化の種類
種類 鍵の長さ
[bit]
対応ブラウザ
日本版 日本版
(新)
米国版
RC4 128 × ×
RC2 128 × ×
Triple-DES 168 × ×
RC4-56 56 ×
DES 56 ×
RC4-40 40
RC2-40 40

<日本版>
日本国内で広く使われている Netscape Communicator や Internet Explorer などです。

<日本版(新)>
Netscape Communicator 4.7 以降など、新しい 56bit export cipher に対応したブラウザです。

<米国版>
米国およびカナダ国内のみで使用できるバージョンの Netscape Navigator / Communicator など、強力な暗号化を制限なくサポートしているブラウザ(国際バージョンの Netscape Communicator を Fortify で処理したものも含む)です。


128bit 暗号化の可能なブラウザの入手方法
米国の輸出規制が緩和され、特別な証明書がなくても 128bit の暗号を扱えるブラウザを日本国内でも入手できるようになりました。
■ Netscape Communicator
Netscape 社から "128bit encryption" バージョンの Netscape Communicator をオンラインで入手できます。 ただし、anonymous ftp には置かれていませんので、web で順を追って入手してください。

■ Microsoft InternetExplorer
お手持ちの IE に "InternetExplorer 高度暗号化パック" を適用してください。


EcoJobでの SSL の位置づけ
EcoJobでは
  • EcoJob会員登録画面
  • 求職者登録画面
  • 求人者登録画面
などの部分に SSL を用いた暗号化を施しており、求職者・求人者様の両方について安全性を高めています。
Firewall の設定
SSL は TCP のポート 443 を使いますので、このポート宛のパケット、およびこのポートからのパケットを通すように設定してください。


関連情報
SSL や暗号化に関するさらに詳しい情報は、以下のサイトから得ることができます。
Netscape Navigator ハンドブック
Navigator/Communicator のメニューバーの 「ヘルプ | ハンドブック(H)」から辿れます。
Q&A の中に、セキュリティに関する説明が若干あります。
IETF(英語)
SSL の次の規格と目される TLS (Transport Layer Security) の Working Group があります。
その他(英語)
OpenSSL | Fortify | Cryptozilla



トータルセキュリティ対策サーバーの利用について
インターネットサービスにおいてセキュリティ対策は必須の要素です。EcoJobサイトにおきましては、ファーストサーバ社のトータルセキュリティ対策サーバを利用しております。

このサーバの強みはシステムのセキュリティ対策はもちろん、データセンターを完全自社構築しているので、物理的レイヤーからのトータルなセキュリティマネジメントができるという点です。

データセンター内外の物理的なセキュリティ対策に始まり、ソシアルクラック、システムへのテクニカルクラックに対して明確なセキュリティポリシーを確立しています。トータルセキュリティ管理ができる事で、非常に堅牢なサーバ環境です。

トータルセキュリティ対策サービス

ソシアルクラックとは
他人になりすましてパスワードの変更を依頼したり、ホスティング会社のゴミ箱からパスワードの記載された書類を探し出すなど、社会的なクラッキング行為のこと。
ファーストサーバではソシアルクラックに対し、以下のようなポリシーで対策をとっています。
  • ソシアルクラックを実施するための事前調査の可能性がある問い合わせに関しては返答をしない。
  • パスワードの不正変更依頼などのソシアルクラック対策を行う。(内容は非開示)
  • 上記に基づき、必要でない限り、サーバOSに関する詳細なディストリビューション等のセキュリティの根幹に関する技術的な情報は開示しない。
テクニカルクラックとは
ソフトウェアやサーバのバグや弱点(セキュリティーホール)を探し出し、そこから「不正侵入」「パスワードや重要データの盗出」「データの改ざん」「サーバに対する利用不能・不安定化攻撃」、などを行う行為のこと。
ファーストサーバではTCP/IPの4つのレイヤー(データリンク層・ネットワーク層・トランスポート層・アプリケーション層)それぞれに特別のポリシーを設け、「監視」「防護」「記録」「監査」を実施しています。
  • 24時間365日監視
  • 侵入防止および不正行為の検知と対策の実施
  • OSのセキュリティ監査とその対策実施
  • OS周辺ソフトのセキュリティ監査とその対策実施、管理操作時の安全確保(操作システムのの安全対策)
  • 新規導入ソフトのセキュリティ監査(独自CGIは除く)
  • 導入済みプログラムのセキュリティ監査・対策(バージョンアップ等)
  • アクセス記録システムの問題監査
  • ロギングシステムそのものの適正化対策、管理時刻適正化等
  • 不正行為の早期検知と24時間監視
  • 不正アクセスに対するアクセス制御
  • TCP通信ポート安全化、パスワードクラック防御、不正ホストアクセス制限
  • 電子メール等の基幹システムやCGIなどの異常暴走監視
  • システム基幹プログラムの改竄監視
  • ハードウェア障害時のデータ復旧


Home