データ送信、情報管理 及び サーバーのセキュリティ対策について

EcoJobサイトでは、「就職・転職」という、皆さまにとって重要な情報を取り扱う関係上、登録ユーザーの皆さまの個人情報の取り扱いをはじめ、各種情報管理と安全対策には厳格な注意と対策をもって、サイト運営しています。


個人情報の取扱いについて
1.個人情報保護方針 
株式会社エコジョブ・ドットコム(以下当社)は、当社が取得した個人情報の取扱いに関し、個人情報の保護に関する法律、個人情報保護に関するガイドライン等の指針、その他個人情報保護に関する関係法令を遵守します。

2.個人情報の安全管理
当社は、個人情報の保護に関して、組織的、物理的、人的、技術的に適切な対策を実施し、当社の取り扱う個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講ずるものとします。

3.個人情報の取得等の遵守事項
当社による個人情報の取得、利用、提供については、以下の事項を遵守します。

(1)個人情報の取得
当社は、当社が管理するインターネットも含む環境分野の職業紹介事業サイト(以下「本サイト」といいます。)の運営に必要な範囲でのみ、本サイトの利用者から、利用者に係る個人情報を取得することがあります。

(2)個人情報の利用目的
当社は、当社が取得した個人情報について、法令に定める場合又は本人の同意を得た場合を除き、労働安定法に基づく環境分野の職業紹介事業への利用目的の達成に必要な範囲を超えて利用することはありません。

(3)個人情報の提供等
当社は、法令で定める場合を除き、本人の同意に基づき取得した個人情報を、本人の事前の同意なく第三者に提供することはありません。なお、本人の求めによる個人情報の開示、訂正、追加若しくは削除又は利用目的の通知については、法令に従いこれを行うとともに、ご意見、ご相談に関して適切に対応します。

4 .個人情報の利用目的の変更
当社は、前項で特定した利用目的は、予め本人の同意を得た場合を除くほかは、原則として変更しません。但し、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲において、予め変更後の利用目的を公表の上で変更を行う場合はこの限りではありません。

5.個人情報の第三者提供
当社は、個人情報の取扱いの全部又は一部を第三者に委託する場合、その適格性を十分に審査し、その取扱いを委託された個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うこととします。

6.個人情報の取扱いの改善・見直し
当社は、個人情報の取扱い、管理体制及び取組みに関する点検を実施し、継続的に改善・見直しを行います。

7.個人情報の廃棄
当社は、個人情報の利用目的に照らしその必要性が失われたときは、個人情報を消去又は廃棄するものとし、当該消去及び廃棄は、外部流失等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいて行います。

8.苦情や相談の担当窓口
当社は、個人情報の取扱いに関する担当窓口及び責任者を以下の通り設けます。
株式会社エコジョブ・ドットコム
〒160-0004 東京都新宿区四谷4-9-12
Tel: 03-3353-7762
E-mail : e@ecojob.com
個人情報苦情・相談窓口 責任者 根岸弥之



SSL対応
a YAHOO!JAPAN company First Server ロゴ
このHPはファーストサーバー社(ヤフーグループ)のサーバーセキュア化サービスにより、個人情報はSSL暗号化通信により保護され送信されます。
概要
SSL は簡単に言うと、データを暗号化してやり取りするやり方の決まりです。
SSL では、公開鍵暗号 (RSA) と秘密鍵暗号を併用しています。公開鍵暗号を使った暗号化・復号には時間がかかるので、より高速な秘密鍵暗号の鍵 (key) を公開鍵暗号で渡すようにしています。

暗号の必要性
インターネットでは現在 IPv4 というプロトコル(通信手順)が使われていますが、暗号化が全く規定されていないため、回線にラインモニタやパソコンなどを挿入すると非常に簡単に中身を覗くことができます。
インターネットは各サイトの相互接続によって成り立っていますので、接続先が遠ければ遠いほど中継サイトが増えます。自分が全く知らないところを通ることも少なくありません。そうなってくると、パケットを覗かれる可能性も次第に増えていきます。安心できるかどうかは、 通り道になっているサイト全てをどこまで信用するかにかかってきます。
インターネットはどこにどんな人がつながっているかわかりませんから、クレジットカード番号などの大切な情報を送る場合には用心したほうが良いわけです。


安全性
絶対に不正解読不能な暗号というのは存在しません。もちろん、暗号文を正しく復号するには正しい鍵を知る必要がありますが、鍵の種類は有限なので、すべての鍵を順に試して行けばいつか必ず正しい鍵にたどり着けます。しかし、正しい鍵にいき着くまでに非常に長い時間(たとえば 1000 年)かかるなら、暗号の目的は十分達成できることになります。
一般に、鍵の長さが n [bit] ある場合の 鍵の種類は 2n ですから、鍵が長ければ長いほど種類が増えて解読が困難に(解読に時間がかかるように)なっていきます。たとえば 40 ビットの長さの鍵なら最大で約 1 兆通り、56 ビットなら約 7 京通り、64 ビットなら約 1844 京通り試すといった具合です。
暗号化の方式の一つに RC4 というのがありますが、日本で広く普及しているブラウザでは鍵の長さを 40 ビットにした RC4-40 というのがよく使われています。この RC4-40 で暗号化された文書は、しらみつぶしに鍵を調べていった場合解読に平均 64 [MIPS 年] かかると言われています。
[MIPS 年] というのは計算量の単位で、計算機の性能 [MIPS] と動かし続けた時間 [年] を掛け合わせたものです。例えば 64 [MIPS 年] なら 1 [MIPS] の性能の計算機を 64 [年]、あるいは 32 [MIPS] の性能の計算機を 2 [年] 動かし続ける、といった具合です。


SSL を使うには
Netscape Communicator や Internet Explorer など,SSL に対応したブラウザがあれば OK です。
SSL を使うために特別の設定をする必要はありません。対応しているブラウザを使っていれば、デフォルトの設定のままで必要なときには自動的に SSL が使われます。

EcoJob側の対応
EcoJobは 128 ビット RC4 や 168 ビット Triple-DES などの非常に強力なものを含め、SSL3 で規定されているすべての暗号化に対応していますので、それらに対応しているブラウザをお持ちなら、通信内容を強力に保護することができます。

表.EcoJobで使える主な暗号化の種類
種類 鍵の長さ
[bit]
対応ブラウザ
日本版 日本版
(新)
米国版
RC4 128 × ×
RC2 128 × ×
Triple-DES 168 × ×
RC4-56 56 ×
DES 56 ×
RC4-40 40
RC2-40 40

<日本版>
日本国内で広く使われている Netscape Communicator や Internet Explorer などです。

<日本版(新)>
Netscape Communicator 4.7 以降など、新しい 56bit export cipher に対応したブラウザです。

<米国版>
米国およびカナダ国内のみで使用できるバージョンの Netscape Navigator / Communicator など、強力な暗号化を制限なくサポートしているブラウザ(国際バージョンの Netscape Communicator を Fortify で処理したものも含む)です。


128bit 暗号化の可能なブラウザの入手方法
米国の輸出規制が緩和され、特別な証明書がなくても 128bit の暗号を扱えるブラウザを日本国内でも入手できるようになりました。
■ Netscape Communicator
Netscape 社から "128bit encryption" バージョンの Netscape Communicator をオンラインで入手できます。 ただし、anonymous ftp には置かれていませんので、web で順を追って入手してください。

■ Microsoft InternetExplorer
お手持ちの IE に "InternetExplorer 高度暗号化パック" を適用してください。


EcoJobでの SSL の位置づけ
EcoJobでは
  • EcoJob会員登録画面
  • 求職者登録画面
  • 求人者登録画面
などの部分に SSL を用いた暗号化を施しており、求職者・求人者様の両方について安全性を高めています。
Firewall の設定
SSL は TCP のポート 443 を使いますので、このポート宛のパケット、およびこのポートからのパケットを通すように設定してください。


関連情報
SSL や暗号化に関するさらに詳しい情報は、以下のサイトから得ることができます。
Netscape Navigator ハンドブック
Navigator/Communicator のメニューバーの 「ヘルプ | ハンドブック(H)」から辿れます。
Q&A の中に、セキュリティに関する説明が若干あります。
IETF(英語)
SSL の次の規格と目される TLS (Transport Layer Security) の Working Group があります。
その他(英語)
OpenSSL | Fortify | Cryptozilla



トータルセキュリティ対策サーバーの利用について
インターネットサービスにおいてセキュリティ対策は必須の要素です。EcoJobサイトにおきましては、ファーストサーバ社のトータルセキュリティ対策サーバを利用しております。

このサーバの強みはシステムのセキュリティ対策はもちろん、データセンターを完全自社構築しているので、物理的レイヤーからのトータルなセキュリティマネジメントができるという点です。

データセンター内外の物理的なセキュリティ対策に始まり、ソシアルクラック、システムへのテクニカルクラックに対して明確なセキュリティポリシーを確立しています。トータルセキュリティ管理ができる事で、非常に堅牢なサーバ環境です。

トータルセキュリティ対策サービス

ソシアルクラックとは
他人になりすましてパスワードの変更を依頼したり、ホスティング会社のゴミ箱からパスワードの記載された書類を探し出すなど、社会的なクラッキング行為のこと。
ファーストサーバではソシアルクラックに対し、以下のようなポリシーで対策をとっています。
  • ソシアルクラックを実施するための事前調査の可能性がある問い合わせに関しては返答をしない。
  • パスワードの不正変更依頼などのソシアルクラック対策を行う。(内容は非開示)
  • 上記に基づき、必要でない限り、サーバOSに関する詳細なディストリビューション等のセキュリティの根幹に関する技術的な情報は開示しない。
テクニカルクラックとは
ソフトウェアやサーバのバグや弱点(セキュリティーホール)を探し出し、そこから「不正侵入」「パスワードや重要データの盗出」「データの改ざん」「サーバに対する利用不能・不安定化攻撃」、などを行う行為のこと。
ファーストサーバではTCP/IPの4つのレイヤー(データリンク層・ネットワーク層・トランスポート層・アプリケーション層)それぞれに特別のポリシーを設け、「監視」「防護」「記録」「監査」を実施しています。
  • 24時間365日監視
  • 侵入防止および不正行為の検知と対策の実施
  • OSのセキュリティ監査とその対策実施
  • OS周辺ソフトのセキュリティ監査とその対策実施、管理操作時の安全確保(操作システムのの安全対策)
  • 新規導入ソフトのセキュリティ監査(独自CGIは除く)
  • 導入済みプログラムのセキュリティ監査・対策(バージョンアップ等)
  • アクセス記録システムの問題監査
  • ロギングシステムそのものの適正化対策、管理時刻適正化等
  • 不正行為の早期検知と24時間監視
  • 不正アクセスに対するアクセス制御
  • TCP通信ポート安全化、パスワードクラック防御、不正ホストアクセス制限
  • 電子メール等の基幹システムやCGIなどの異常暴走監視
  • システム基幹プログラムの改竄監視
  • ハードウェア障害時のデータ復旧


Home