自治体がクラウドファンディングサービスを利用、アクセス集中し他人の個人情報を誤表示
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月15日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・「CDN」の仕組みとは?どう活用される?
・「CDN」の実装にあたり気を付けるべき事
今回の解説ニュース
CDNの設定ミスが原因で、マイページに他人の登録情報が表示されたということです。CDNの設定時にセキュリティの観点で気を付けるポイントを説明します。
CDNとは、Content Delivery Networkの略で、主にWebサイトの静的コンテンツを効率的に配布するための仕組みです。Webサイトのコンテンツを世界中のサーバでキャッシュすることにより、セキュリティ3要素の可用性を向上させます。
今回のインシデントは、Webサイト上のマイページに他人の氏名、メールアドレス、住所、電話番号、購入履歴を含む個人情報が表示されてしまいました。調査結果によると、アクセスが集中することの対策として組み込んだCDNの設定ミスが原因であるようです。対策として、システムの再構築及び検証を行い、個人情報の誤表記が発生しないことを確認し、募集を再開したということです。
「CDN」の仕組みとは?どう活用される?
CDNの仕組みについて説明します。
例えば、家から海外の映画をオンラインで見る時に、自身のパソコンからインターネットを経由して動画のコンテンツを配信する海外のサーバへアクセスする経路は、サーバ側で何らかの負荷対策をしていなければ、ほぼ同じ経路で同じサーバへアクセスすることになります。これは、車を使って目的地に向かっていることと似ていて、人気のコンテンツであればあるほど、コンテンツが保存されているサーバに近いネットワークやサーバ自体が混み合ってきます。「アクセスが集中してつながりにくくなっています」みたいなことは、このような状況で発生します。
そこで、コンテンツを配信するサーバにCDNを組み込んだ場合、自身から物理的に近いキャッシュサーバからコンテンツが配信されます。インターネットと言えども、距離が遠い海外のサーバへサイズの大きい動画ファイルをダウンロードするよりも、国内のサーバにアクセスした方がスピードが速いことはご理解いただけるのではないでしょうか。もし、キャッシュサーバにコンテンツがキャッシュされていなかったり、コンテンツが期限切れになっていた場合は、CDNが新たにコンテンツを保存してキャッシュします。
このように、CDNはサーバの負荷を軽減しながら、コンテンツを遅延なく配信することを目的としています。ただし、動的ページなどのキャッシュできないコンテンツもあるので注意が必要です。今回のインシデントは、このキャッシュできないコンテンツが問題となって発生していることが考えられます。
その他のトピックはこちら
「CDN」の実装にあたり気を付けるべき事
過去にCDNの設定ミスで発生したインシデントの事例を交えて、気を使えるべきポイントについて説明します。(全文はこちら)