個人サイトで出来る送信フォームのセキュリティについて

質問

個人サイトで出来る送信フォームのセキュリティについて

役に立った：2件

質問者：dai-39
投稿日時：2003/09/22 21:14
困り度：

個人でアクセサリを作成している知人から相談を受けました。
これからレンタルサーバ（共有Webスペース提供）と契約し、Webサイトを作って注文を受けたいのだそうですが、商品の送付先をフォームから送信してもらう時にセキュリティについて不安を覚えたそうです。
企業レベルでしたら、SSLを使ったりすればある程度までは確保できるとは思いますが、費用等を考えるとなかなか、そこまですぐには出来ないようです。

そこでお伺いしたいのですが、SSL等、初期費用が高額な方法を避け、かつスタンダードなレンタルサーバで可能なかぎり、送信フォームのセキュリティを確保するにはどのような手段があるでしょうか。
そもそも無理である、という回答もアリですが、出来れば実用的な方法をうかがえると嬉しいです。
よろしくお願いいたします。

この質問への回答は締め切られました。

回答(4件)

No.4ベストアンサー10pt

回答者：sato9
回答日時：2003/10/02 22:21

私もそういう悩みを持っておりました。転送量制限がきついレンタルサーバですが、私は大納得のサーバです。お陰でサクサク見れます。

ただ、詳しい方は高いセキュリティの活用が出来ると思いますが、ＳＳＬがないよりはマシということで、使っています。サーバへのメール受け取りだけはＳＳＬが効いていません。でも、これも解決策は用意してあるようです。私には難しいシステムなので使えませんが(笑)

通報する

質問者のみ：
この回答にお礼をつける

No.3ベストアンサー20pt

回答者：LEE25
回答日時：2003/09/27 00:59

こんばんは。わたしも以前似たような悩みを持っていました。

SSLを使ったりすればある程度までは確保できるとは思いますが、費用等を考えるとなかなか、そこまですぐには出来ないようです。

ベリサイン社などの認証サービス企業のサイト証明を使用したSSL接続のことを前提にされているのだと思いますが、SSLはなにも自分で直接ベリサイン社などと契約しなくても、レンタルサーバによってはSSLのサービスを利用できるところもあります。月何千円とか、普通のレンタルサーバの料金で大丈夫です。（ちゃんと鍵のマークも表示されますよ。）

以前、私も同じような状況でしたので自分で相当調べたのですが、参考になるサイトのURL、見あたらなくなってしまいましたが、一応いまひとつだけGoogleで調べましたので、記入しておきます。下記ページのキーワード欄にSSLと入れて検索するだけで３８件出てきました。

通報する

質問者のみ：
この回答にお礼をつける

No.2

回答者：ru-coco
回答日時：2003/09/22 23:50

こちらのサイトはいかがでしょうか？
登録店舗も多いみたいですよ・・

通報する

質問者のみ：
この回答にお礼をつける

No.1

回答者：noname#14035
回答日時：2003/09/22 23:30

こんばんは。

なるべく安くあげたいと言う気持ちはわからないでもないのですが、いくら個人でも商売をすることには変わりないわけですから、あえて率直に書きますね。

>>そもそも無理である、という回答もアリですが、出来れば実用的な方法をうかがえると嬉しいです。
↓
おっしゃるとおり、無理があります。

「ネットでの無店舗商売」というと、なにやら手軽に始められるようなイメージがあると思いますが、お話のケースでは、売買契約が発生する”商売”をすることには変わりありませんので、「個人だからそこそこのセキュリティーでよい。」という意識は許されません。

どんなに小規模な商売でも、きちんとした事業計画を立てなければトラブルの可能性が大きくなってしまいます。

Webベースの商売では、セキュリティー対策だけをとってみても、このような掲示板上で「ちょこっとヒントをもらえば済むようなもの。」ではありません。

送付先の住所などの個人情報もそうですが、クレジット決済の有無や、扱う情報の内容によって、セキュリティー設計は大きく変わってしまうからです。（他にも考慮すべき点が多いと言う意味です。）

商売を行うからには、「誰の責任で何をどれくらい守るのか。」と言うこと（セキュリティー・ポリシー）を明確にして、客に提示しなければ信用が得られるはずがありません。

特にクレジットカードなどによるオンライン決済を行う場合は、どんなに小規模だろうと、結果としてSSLは必須となるはずです。（共有Webならなおさら必要ですし、それなりの料金で実現できるはずです。）

ただし、SSLによる暗号化は、あくまで「客とWebアプリケーション（サイト）の間」でしか有効ではありません。（あくまで有効なセキュリティー対策を構成するパーツに過ぎません。）

サイト上での注文と決済完了までの情報はSSLで守れたとしても、入力フォームのデータを暗号化せずに電子メールで受信しようとしてしまえば、効果半減です。

現状の電子メールの仕様は”平文送信”（誰にでも簡単に読める形式）が基本だからです。

単にSSLを使っただけでは、”十分に安全”（個人情報の保護に対して）というレベルにはなりません。

昨今よく指摘されている「Webアプリケーションのセキュリティー・ホールによる個人情報漏洩」など、さまざまな問題点を潰しておかなければなりません。（掲示板レベルのやり取りでは到底無理と言った理由の一つがこの部分です。）

オンライン決済を行わない場合は、たしかにセキュリティー対策にかかる経費を軽減することができる可能性が高いでしょうが、具体的な手法については、当事者同士が協議していきながら決めるベきことだと思います。

こうした悩み（リスク）をクリアしながら比較的手軽に商売を始めるために、出店料を払う形式での「オンライン・アーケードの利用」と言う方法もあると思います。

出店料という経費はかかりますが、上記のような懸案をある程度クリアした受け皿を提供していることを条件に、小規模なものを選び出店料の安さを優先したり、大手を選び知名度（アクセス数）を優先するという選択も可能だと思います。（この手の業者はネット上にいくらでもありますよね。）

もちろん、技術的には自前のサーバーやレンタルサーバーを利用しての商売で”安く”セキュリティーを向上させることは可能です。

しかしそのためには、「詳細な計画とシステム設計」＋「十分な知識をもった管理者」という要素が必須となります。

要するに、リスク軽減のために経費（金）をかけるか、金をかけずに手間をかけるか（人件費という経費はかかりますが…）という単純な問題に行き着くという面では、個人も大企業も同じだといえると思います。

せっかく「チャレンジしよう！」という気持ちになられている方に対して、なにやら苦言じみた内容ばかりを書いてしまったかも知れませんが、少しでも参考にしていただきたいと思い、書き込んでみました。

以上、長文で直接回答になっていない部も多く、恐縮です。

それでは。