データ送信、情報管理 及び サーバーのセキュリティ対策について

EcoJobサイトでは、「就職・転職」という、皆さまにとって重要な情報を取り扱う関係上、登録ユーザーの皆さまの個人情報の取り扱いをはじめ、各種情報管理と安全対策には厳格な注意と対策をもって、サイト運営しています。

個人情報の取り扱いについて

 株式会社エコジョブ・ドットコム
代表取締役 根岸弥之
この「個人情報の取扱いについて」は、株式会社エコジョブ・ドットコムが取得し利用する個人情報を対象として、株式会社エコジョブ・ドットコムの個人情報に関する基本的な指針を定めるものです。

株式会社エコジョブ・ドットコムでは、個人情報取扱事業者として個人情報(個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できることとなるものを含みます)を取り扱うにあたっては、以下の「個人情報保護方針」を定め、個人情報の保護に関する法律、その他関係法令および「個人情報の取扱いについて」を遵守いたします。

【個人情報保護方針】
・事業の内容および規模を考慮した適切な個人情報の取得、利用および提供を遵守します。
・ 個人情報の漏えい、滅失またはき損の防止措置を講ずると共に、万一の発生時には速やかな是正対策を実施します。
・個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守します。
・ お客様からの個人情報に関するお問合せに、誠実かつ迅速に対応します。
・個人情報管理の仕組みを継続的に改善します。

【利用目的について】
株式会社エコジョブ・ドットコムは利用目的を下記に限定します。
・労働安定法に基づく有料民営職業紹介事業(人材紹介事業)
上記の利用目的以外で個人情報を利用する必要が生じた場合には、あらかじめ本人の同意を得た場合および「個人情報の保護に関する法律」その他法令により例外として取り扱うことが認められている場合を除き、その利用についてご本人のご同意をいただくものとします。

【第三者への提供について】
株式会社エコジョブ・ドットコムでは取得した個人情報を、以下のいずれかに該当する場合を除き、いかなる第三者に提供または開示は一切いたしません。
・ ご本人の同意がある場合
・ 人の生命、身体または財産の保護のために必要な場合であって、ご本人のご同意をいただくことが困難な場合
・ その他法令にもとづき開示・提供を求められた場合

【ご登録内容の開示、修正および利用中止について】
株式会社エコジョブ・ドットコムでは、業務の適正な遂行を妨げない限りにおいて、ご本人のお申し出により、個人情報をご本人に開示します。その場合、株式会社エコジョブ・ドットコム所定の方法によって本人確認を行わせて頂きます。ご本人に開示した個人情報に事実と異なる内容があった場合、株式会社エコジョブ・ドットコムではこれを直ちに修正します。またご本人から個人情報の利用停止の申し出があった場合には、直ちにその利用を停止します。

【サイト等のセキュリティについて】
ウェブサイトから個人情報をご登録頂く場合には、ネットワーク上での盗聴を防止するセキュリティ対策としてSSLというデータ暗号化技術を使用しています。株式会社エコジョブ・ドットコムのSSLにつきましては下記【補足1】にて、トータルセキュリティ対策サーバーの利用については【補足2】にて、詳細に説明いたします。

【改定について】
「個人情報の取扱いについて」は、関連する法令等の改正や株式会社エコジョブ・ドットコムの方針の変更等により予告なく変更する場合があります。

【「個人情報の取扱いについて」に関するお問い合わせ先】
株式会社エコジョブ・ドットコム
個人情報取扱責任者兼代表取締役
根岸弥之
TEL:03-3353-7762



【補足1】SSL対応
a YAHOO!JAPAN company First Server ロゴ
このHPはファーストサーバー社(ヤフーグループ)のサーバーセキュア化サービスにより、個人情報はSSL暗号化通信により保護され送信されます。
概要
SSL は簡単に言うと、データを暗号化してやり取りするやり方の決まりです。
SSL では、公開鍵暗号 (RSA) と秘密鍵暗号を併用しています。公開鍵暗号を使った暗号化・復号には時間がかかるので、より高速な秘密鍵暗号の鍵 (key) を公開鍵暗号で渡すようにしています。
暗号の必要性
インターネットでは現在 IPv4 というプロトコル(通信手順)が使われていますが、暗号化が全く規定されていないため、回線にラインモニタやパソコンなどを挿入すると非常に簡単に中身を覗くことができます。
インターネットは各サイトの相互接続によって成り立っていますので、接続先が遠ければ遠いほど中継サイトが増えます。自分が全く知らないところを通ることも少なくありません。そうなってくると、パケットを覗かれる可能性も次第に増えていきます。安心できるかどうかは、 通り道になっているサイト全てをどこまで信用するかにかかってきます。
インターネットはどこにどんな人がつながっているかわかりませんから、クレジットカード番号などの大切な情報を送る場合には用心したほうが良いわけです。

安全性
絶対に不正解読不能な暗号というのは存在しません。もちろん、暗号文を正しく復号するには正しい鍵を知る必要がありますが、鍵の種類は有限なので、すべての鍵を順に試して行けばいつか必ず正しい鍵にたどり着けます。しかし、正しい鍵にいき着くまでに非常に長い時間(たとえば 1000 年)かかるなら、暗号の目的は十分達成できることになります。
一般に、鍵の長さが n [bit] ある場合の 鍵の種類は 2n ですから、鍵が長ければ長いほど種類が増えて解読が困難に(解読に時間がかかるように)なっていきます。たとえば 40 ビットの長さの鍵なら最大で約 1 兆通り、56 ビットなら約 7 京通り、64 ビットなら約 1844 京通り試すといった具合です。
暗号化の方式の一つに RC4 というのがありますが、日本で広く普及しているブラウザでは鍵の長さを 40 ビットにした RC4-40 というのがよく使われています。この RC4-40 で暗号化された文書は、しらみつぶしに鍵を調べていった場合解読に平均 64 [MIPS 年] かかると言われています。
[MIPS 年] というのは計算量の単位で、計算機の性能 [MIPS] と動かし続けた時間 [年] を掛け合わせたものです。例えば 64 [MIPS 年] なら 1 [MIPS] の性能の計算機を 64 [年]、あるいは 32 [MIPS] の性能の計算機を 2 [年] 動かし続ける、といった具合です。


SSL を使うには
Netscape Communicator や Internet Explorer など,SSL に対応したブラウザがあれば OK です。
SSL を使うために特別の設定をする必要はありません。対応しているブラウザを使っていれば、デフォルトの設定のままで必要なときには自動的に SSL が使われます。
EcoJob側の対応
EcoJobは 128 ビット RC4 や 168 ビット Triple-DES などの非常に強力なものを含め、SSL3 で規定されているすべての暗号化に対応していますので、それらに対応しているブラウザをお持ちなら、通信内容を強力に保護することができます。
表.EcoJobで使える主な暗号化の種類
種類 鍵の長さ
[bit]		 対応ブラウザ
日本版 日本版
(新)		 米国版
RC4 128 × ×
RC2 128 × ×
Triple-DES 168 × ×
RC4-56 56 ×
DES 56 ×
RC4-40 40
RC2-40 40

<日本版>
日本国内で広く使われている Netscape Communicator や Internet Explorer などです。
<日本版(新)>
Netscape Communicator 4.7 以降など、新しい 56bit export cipher に対応したブラウザです。
<米国版>
米国およびカナダ国内のみで使用できるバージョンの Netscape Navigator / Communicator など、強力な暗号化を制限なくサポートしているブラウザ(国際バージョンの Netscape Communicator を Fortify で処理したものも含む)です。


128bit 暗号化の可能なブラウザの入手方法
米国の輸出規制が緩和され、特別な証明書がなくても 128bit の暗号を扱えるブラウザを日本国内でも入手できるようになりました。
■ Netscape Communicator
Netscape 社から "128bit encryption" バージョンの Netscape Communicator をオンラインで入手できます。 ただし、anonymous ftp には置かれていませんので、web で順を追って入手してください。
■ Microsoft InternetExplorer
お手持ちの IE に "InternetExplorer 高度暗号化パック" を適用してください。


EcoJobでの SSL の位置づけ
EcoJobでは
  • EcoJob会員登録画面
  • 求職者登録画面
  • 求人者登録画面
などの部分に SSL を用いた暗号化を施しており、求職者・求人者様の両方について安全性を高めています。
Firewall の設定
SSL は TCP のポート 443 を使いますので、このポート宛のパケット、およびこのポートからのパケットを通すように設定してください。
関連情報
SSL や暗号化に関するさらに詳しい情報は、以下のサイトから得ることができます。
Netscape Navigator ハンドブック
Navigator/Communicator のメニューバーの 「ヘルプ | ハンドブック(H)」から辿れます。
Q&A の中に、セキュリティに関する説明が若干あります。
IETF(英語)
SSL の次の規格と目される TLS (Transport Layer Security) の Working Group があります。
その他(英語)
OpenSSL | Fortify | Cryptozilla



【補足2】トータルセキュリティ対策サーバーの利用について
インターネットサービスにおいてセキュリティ対策は必須の要素です。EcoJobサイトにおきましては、ファーストサーバ社のトータルセキュリティ対策サーバを利用しております。

このサーバの強みはシステムのセキュリティ対策はもちろん、データセンターを完全自社構築しているので、物理的レイヤーからのトータルなセキュリティマネジメントができるという点です。

データセンター内外の物理的なセキュリティ対策に始まり、ソシアルクラック、システムへのテクニカルクラックに対して明確なセキュリティポリシーを確立しています。トータルセキュリティ管理ができる事で、非常に堅牢なサーバ環境です。
トータルセキュリティ対策サービス

ソシアルクラックとは
他人になりすましてパスワードの変更を依頼したり、ホスティング会社のゴミ箱からパスワードの記載された書類を探し出すなど、社会的なクラッキング行為のこと。
ファーストサーバではソシアルクラックに対し、以下のようなポリシーで対策をとっています。
  • ソシアルクラックを実施するための事前調査の可能性がある問い合わせに関しては返答をしない。
  • パスワードの不正変更依頼などのソシアルクラック対策を行う。(内容は非開示)
  • 上記に基づき、必要でない限り、サーバOSに関する詳細なディストリビューション等のセキュリティの根幹に関する技術的な情報は開示しない。
テクニカルクラックとは
ソフトウェアやサーバのバグや弱点(セキュリティーホール)を探し出し、そこから「不正侵入」「パスワードや重要データの盗出」「データの改ざん」「サーバに対する利用不能・不安定化攻撃」、などを行う行為のこと。
ファーストサーバではTCP/IPの4つのレイヤー(データリンク層・ネットワーク層・トランスポート層・アプリケーション層)それぞれに特別のポリシーを設け、「監視」「防護」「記録」「監査」を実施しています。
  • 24時間365日監視
  • 侵入防止および不正行為の検知と対策の実施
  • OSのセキュリティ監査とその対策実施
  • OS周辺ソフトのセキュリティ監査とその対策実施、管理操作時の安全確保(操作システムのの安全対策)
  • 新規導入ソフトのセキュリティ監査(独自CGIは除く)
  • 導入済みプログラムのセキュリティ監査・対策(バージョンアップ等)
  • アクセス記録システムの問題監査
  • ロギングシステムそのものの適正化対策、管理時刻適正化等
  • 不正行為の早期検知と24時間監視
  • 不正アクセスに対するアクセス制御
  • TCP通信ポート安全化、パスワードクラック防御、不正ホストアクセス制限
  • 電子メール等の基幹システムやCGIなどの異常暴走監視
  • システム基幹プログラムの改竄監視
  • ハードウェア障害時のデータ復旧


Home