WEBサーバに個人情報を置く危険性

このQ&Aのポイント
  • WEBアンケートのフォーム内容をWEBサーバに置くことの危険性について考える
  • WEBサーバに置くこと自体は間違いではないが、適切なセキュリティ対策が必要。
  • DBサーバを利用することで、より安全に個人情報を管理することができる。
回答を見る
  • ベストアンサー

WEBサーバに個人情報を置く危険性

また質問させていただきます、ネットワークセキュリティ初心者です。宜しくお願いします。 現在会社でWEBアンケートを実施しており一連の流れは以下のようになっています。 1.フォーム内容を本人とアンケート管理者にメールで送る。 2.フォームの内容をテキストファイルのようなモノに書き込んでWEBサーバに置いてます。 (xxxx.cgiというテキストファイル?) http://***/xxxx.cgiと入力すると「Internal Server Error」というのが出てきて内容は見れません。 これはパーミッションを666に設定しているから問題ないと言われました。 他の質問などを拝見し1.はマズいというのがわかりました。 2.はどうなのでしょうか? WEBサーバに置くこと自体間違っているように思うのですが、ブラウザから見れないのであれば問題ないのでしょうか? 問題があれば、DBサーバがあるのでそちらを利用する方向で考えた方がよろしいですか? 知識も情報もなく、このような質問内容で申し訳ありません。 宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • ex_hmmt
  • ベストアンサー率48% (726/1485)
回答No.1

あー、まぁ、一昔前はそれでいいとされてた形式ですねー。 今それなりに重要なデータでそういう事をするのは拙いんじゃないかなと私などは思うんですが。 問題は、確かに「普通なら」それでアクセスは出来ませんが、Webサーバという、外部から直接アクセスできるサーバに、そのようなデータを置く事自体が既にもう古い、非常識な考え方になっています。 理由は単純です。「Webサーバには、必ず脆弱性がある」からです。それが発覚するか発覚しないかはわかりませんが、公になっていないセキュリティホールでも、アンダーグラウンドの悪意を持った人間は、普通に攻撃対象としている、と考えるべきでしょう。 つまり、直接公のネットワークからはアクセスできない場所に必ず機密性の高いデータは置くべきであるし、それをしていなかった場合に何らかの攻撃を受けて、その個人情報が流出したならば、それは損害賠償請求を起こされても仕方ないですね。今まではあまり高額な賠償にはなってこそいませんが、個人情報保護法も施行されたことですし、これから先どのようになっていくかはわかりません。かなりの高額な賠償金額になる可能性も十分にあると考えるべきでしょう。 「DBサーバ」がどのように構築されているかはとりあえず問題なので、そこでの脆弱性の検証はしません(情報が少なすぎます)。とにかく、外部との接点が少ないサーバであればあるほど理想的です。 しかし、もし、そんなシステムを外部の業者が構築してたなら、その業者とは出来れば縁を切った方がいいと思います。もっと良質の業者は幾らでもいますし。 どうしてもその業者と縁が切れないなら、せめて万が一のクラックが起こったときの法務的な契約(責任の所在ですね)について業者と一筆交えておくべきでしょう。それが原因でクラックされたら業者に責任があるという事を明確にしておくべきだ、という事です。 社内での開発の場合……まぁ、なんらかの記録が残る方法でその形式に反対したという事を書いておくと、後々保身できるかも……この辺蛇足ですね。失礼しました。

tonami_kun
質問者

お礼

早速の回答ありがとうございます。丁寧な説明から保身法まで。 “アンダーグラウンドの悪意を持った人間”“Webサーバの脆弱性”というのがボンヤリわかっているような、わかっていないような…曖昧だったのでこのような質問をしました。 参考にさせていただきます。ありがとうございました。

関連するQ&A

  • ロリポップサーバでのWeb拍手cgi設置について

    自分はロリポップサーバを利用しているのですが Web拍手のcgiを自サイトで動かす際のパーミッションが正しくないようで...正しく動作しません; ロリポップが推奨するパーミッションもWeb拍手配布サイト様が推奨するパーミッションも試してみたのですが上手くいかず...(@_@;) ファイルはちゃんとアスキーで転送しましたし perlパスもサーバに合わせたのですが... あとはパーミッションの問題だと判断しました。 使用ファイルは(数字は配布者様推奨パーミッション値) ・clap.cgi :拍手送信cgi 755 ・kaiseki.cgi :解析表示cgi 755 ・clapinit.cgi :設定、主要サブルーチン 644 ・jcode.pl :ライブラリ 644 ・log.dat :ログファイル 666 ・mes.dat :メッセージ保存ファイル 666 ・lock.dat :ファイルロック用ファイル 777 拡張子で見分けがつかない初心者なもので... ローカルでは動作したのであとこれだけ…!!! ロリポップで拍手cgi作動出来た方、ぜひ教えてください...(_ _;) 拙い質問で申し訳無いのですが...回答いただけると嬉しいです(*^_^*) それでは。長文質問失礼致します。。  

    • ベストアンサー
    • CGI
  • plalaのcgiサーバへのPerlプログラムのUPについて

    windows上のローカルサーバで、自作のperlプログラムを動かし、きちんと動作したのでplalaのcgiアカウントをとり、UPした後、パーミッションもplalaの注意書きに書かれていたとおり、ディレクトリ以外のバイナリや、テキストを「704」に変更しました。 Perlへのパスも間違っておらず、プログラムミスということもないと思っています。 しかし、UPしたcgiファイルにアクセスしようとすると、「Internal Server Error」と表示され、パーミッションを「755」などにかえても、パーミッションがおかしいとでます。 いったいパーミッションを何にすればよいのでしょうか?

  • WebサーバーのDBサーバー

    どなたか、教えて下さい。 今回Webサーバーの構築を行なうのですが、それにあたって質問があります。 ものすごい単純なことなのかもしれませんが。教えて下さい。 Webサーバーを1台、DBサーバーを1台構築しようと考えています。 Webサーバーには、IISを導入しようとかんがえていますが、 DBサーバーって、何か、特別な、Webの物の設定て必要なのですか? 普通のDBサーバー(ファイル)で構わないのでしょうか? すいません。お教えください。 今回Webサーバーと、ファイルサーバー(DB)が違うマシンなのは、 はじめてなもので・・・・・

  • サーバー構築

    大変困ってます。。。 WEBサーバーとDBサーバーを構築しようとしています。 ファイヤーウォールでDMZ、INTERNALにわけ、 DMZにWEBサーバー、INTERNALにDBサーバーを置こうとしていますが、 必要な機材やら設定やら、不明な部分が多く残ります。 WEB/DBサーバーのOSはlinux。 どこかによいサイトはありませんでしょうか?

  • MP Form Mail CGI で 500サーバーエラー

    初めまして、gibasense といいます。 サーバーエラーが表示されて困っています。 助けてもらえないでしょうか(>_<) 【使用CGI】  futomi's CGI Cafe  MP Form Mail CGI Professional 版 (メールフォームCGI)  http://www.futomi.com/library/mpmailp.html 【エラー内容】  CGIを実行すると505 Error - Internal Server Error が表示される。 【仕様サーバー】  ロリポップ  【PC環境】  ・OS WindowsXP  ・FTP FFFTP V1.92 【操作設定内容】  ・サーバー上のCGIディレクトリの削除  ・再度、CGIをダウンロード  ・サーバーにアップロード(ASCIIモード)  ・パーミッションの設定   フォルダ[705] HTML,画像ファイル[604] CGI[700] 又は、[704] 【CGIサイト管理者より】  CGIフォルダをサーバーにアップロード後、パーミッションをmpmail.cgi[704]admin.cgi[704]  に設定するだけでCGIは動作する。とコメント頂きました。  (ロリポップのサーバーでテストをして頂きました。) 【その他テスト】  上記のフォームメール以外のCGIは問題なく動作します。  (アクセスカウンター、アクセス解析等) 【追記】  ・Perl のパスは標準で #!/usr/local/bin/perl でした。  ・ロリポップのサーバー番号によって仕様がちがうのでしょうか? どうぞ宜しくお願いします。m(_ _)m

    • ベストアンサー
    • CGI
  • サーバを移行したのですが、プログラムが動きません。

    はじめまして。 Perl超初心者です。 先日、あるサイトのリニューアルをし、PHPでシステムを組んだのですが、一部のコンテンツに関しては、前の業者がPerlで組んでいたシステムをそのまま転用することになりました。 そこで、以前のデータを貰って、サーバのcgi-binのフォルダにそれらのデータをコピーし、関係すると思われるファイルのパーミッションを、755にし、 また、以前は、ファイルの一行目が、#!usr/local/bin/perl だったのですが、 これを、#!usr/bin/perl に修正しましたが、動いてくれません。 Internal Server Error と出てしまいます。 試しに、単純な text.cgi #!/usr/bin/perl print "Content-Type: text/html\n\n"; print "OK"; というファイルを置いてみたのですが、これは動いています。 ちなみに、移行しなければならないcgiファイルは、プログラムの中で、.pl ファイルを複数読み込んでいるのですが、このファイルのパーミッションは、755で良いのでしょうか? また、このプログラムでは、 cgi-bin のディレクトリから、 data というディレクトリの中にある.datファイルを読み込むはずなのですが、このdataというディレクトリは、cgi-binと同階層に置けばよいでしょうか? Internal Server Errorというエラーは、どういうときに出るエラーなのでしょうか? 色々ファイルを操作しても、このエラーしか出ないので、どう対処してよいかよく分かりません。 不勉強で大変心苦しいのですが、 ご回答よろしくお願いいたします。

    • ベストアンサー
    • Perl
  • 500 Internal Server Error

    500 Internal Server Errorが出ます。 サーバ:CentOS6.4 サーバ側の文字コード:UTF-8 perlのパス:/usr/bin/perl index.cgiの文字コード:LF (サーバ上で直接作成) index.cgiのパーミッション:777 (パーミッションの問題を避けるためわざと、777に設定) ここで、サーバ上で直接実行 perl /var/www/html/index.cgi すると、正しく処理の結果が返ってきてエラーは出ません。 しかし、クライアントのブラウザでindex.cgiにアクセスすると、500 Internal Server Errorが出ます。 なお、index.cgiを設置するディレクトリはApacheで以下のように設定しcgiスクリプトを有効にしています。 <Directory “/var/www/html”> Options FollowSymLinks ExecCGI </Directory> AddHandler cgi-script .cgi .pl #AddDefaultCharset UTF-8 ******************************************************* 【/var/www/html/index.cgi】 #!/usr/bin/perl print "Content-type: text/html"; print "<html>"; print "<body>"; print "<p>"; print "CGI"; print "</p>"; print "</body>"; print "</html>"; スクリプトの文法に問題があれば、サーバ上で直接実行させた時点でエラーを吐きそうですし、 パーミッションは777にしていますし、Apacheの設定もcgiを有効にしているので 他に500 Internal Server Errorが出る原因が掴めません。 Apacheの設定で、#AddDefaultCharset UTF-8 として文字セットを無効にした場合は CGIスクリプトの方で何か追加してやらないと、文字化け以前の問題で必ず500 Internal Server Errorを吐くんですかね? ご指導のほどよろしくお願い致します。

    • ベストアンサー
    • CGI
  • サーバーを移転後、メールフォームが機能しなくなった

    こんにちは。 以前にHPの作成と管理をお願いしていた業者が潰れた為、 さくらインターネットでサーバーを借りてデータをFFFTPで丸ごと移行したのですが、 メールフォームだけが正常に働かず困っています。 まず最初はフォームからメールを送ろうとすると、Internal Server Errorが出て、 これはpostmail.cgiのファイルのパーミッションを604からさくらで推奨している705に変更する事で解決できたのですが、 代わりにその画面で、 ERROR ! メール送信失敗 となり、メールの送信ができないのです・・・。 まだ何処か変更しなくてはならない所があるのでしょうか? 移転前のサーバーにデーターがあるときは正常にフォームが機能していることを確認しました。 postmail.cgiのパーミッション以外は何もいじってませんが、親フォルダのパーミッションは最初から755になっていた事を確認しました。 メールフォームはpostmailというフリーソフトのv3.21を使って作成されているみたいです。 色々検索して調べてみたのですが、解決の糸口が見つからず困り果てています。 htmlとcssなら最低限は判るのですが、cgiの知識はまったくありません。 サーバーを移転する前は正常でサーバーを移転したことによってエラーが発生したので どこかを少しいじれば直るとは思うのですが・・・。 何卒、よろしくお願いします。

    • ベストアンサー
    • CGI
  • WEB PATIOが表示されない

    TOK2の無料ホームページ作成(CGI)で、 WEBPATIO - http://www.kent-web.com/bbs/patio.html を使用したいのですが、パーミッションを正しく入力したにも関わらず、500 Internal Server Errorが表示されて、アクセス出来ません。どのようにしたら、TOK2では表示されますか?お願いします!

    • ベストアンサー
    • CGI
  • 専用サーバーの仕様は第三者でも分かるものですか?

    web制作に従事している者です。 サーバーの要件に合わせた制作の知識はありますが、サーバーサイドに関しては初心者です。 現在、ある専用サーバーでwebサイトを構築しています。 専用サーバーはクライアントの所有ですが、管理は外部へ委託されています。 ・wordpressサイト構築 ・メールフォームの設置 を行うことになっておりますが、 私(制作)←→上司←→クライアント←→サーバー管理会社との伝達がうまくいかず、 サーバーの情報があまりなく困っております。 現在の状況としては以下です(時系列で書きます)。 A - wordpressはインストール出来たが、ファイルの書き換えはwpから出来ない仕様となっている (configファイルの作成やプラグインの追加・削除はFTPソフトから行いました) B - CGIメールフォームの設置を試みましたが、指定のパーミッションにしても動かなかった(.cgiファイルにアクセスすると白背景に文字列だけが表示されるだけ) C - パーミッションが違うのかも?と思い、サーバー管理会社へ「CGIを使いたいのでパーミッションを教えて欲しい」とたずねたところ、「業者なら調べれば分かるんじゃないですか」と返答された。 D - その後CGIディレクトリがあることを知り(教えてはもらえず)、そのディレクトリにアクセルするとアクセス権がないといわれた。 E - phpメールフォームも試してみましたが、送信まではいくもののメールは届かず正常ではないようです。 wordpressは一応インストール出来なのでよしとして、、、 メールフォームの設置がうまくいかず行き詰っています。 php.iniのページのURLをもらいましたが、私は見方があまりわからず、、、 ここでサーバーの情報というのはすべて分かるのでしょうか? また、web制作者がサーバーのことを管理者へいろいろ聞くことはあまりよくないことなのでしょうか? また、パーミッションは第三者がなんらかの方法で調べれば分かるようなものなのでしょうか? こちらが管理会社へサーバーの仕様に関していろいろ聞くことを、とても面倒に扱われるのです。 あいだに挟まれているクライアントさんも無知なため、管理会社へ問い合わすことが億劫なようで… クライアントの元には、サーバーのマニュアルはFTP設定のものしかなく、その他はないとのことでした。 とりとめのない文章ですみませんm(_ _)m 制作者ならそれくらい知っておけよ!ということもあれば、あわせて教えていただきたいです。 よろしくお願いします。

    • 締切済み
    • CGI