【データベース】タグの記事一覧|退会専科 https://taikaisenka.com 退会手順のことなら退会専科へ! Sat, 17 Sep 2022 15:32:18 +0000 ja hourly 1 https://wordpress.org/?v=6.2.2 【物理/論理削除】そのアプリ大丈夫?!個人情報を守るために必要な2つの知識 https://taikaisenka.com/buturi-sakujo-ronri-sakujo/ https://taikaisenka.com/buturi-sakujo-ronri-sakujo/#respond Sat, 31 Jul 2021 16:01:12 +0000 https://taikaisenka.com/?p=286

こんにちは!ユウナです。

皆さんは「物理削除」「論理削除」という言葉を知っていますか?

今あなたが使っているアプリやwebサービスでアカウントを削除(退会)するとき、運営側では主にこの2つの方法でユーザの退会処理を行っています。

物理削除のパターンで運営しているところなら問題はないですが、もし論理削除のパターンを使って「退会したとみなしている」だけだった場合は、万が一クラッカーに攻撃されたとき、あなたがアプリやwebサービスに登録した個人情報が漏洩してしまう危険性が潜んでいるのです。

本稿では、本業でプログラマーをしている私ユウナが、退会処理における基本的な考え方と、より強固に個人情報漏洩から身を守る手段を解説していきます。

クラッカーとは、悪意があるハッカーのことです。もともとハッカーとは、ITに詳しい人全般を指す言葉でしたが、不正アクセスなどをする攻撃者は皆ITに詳しい人なので、クラッカーよりハッカーがメジャーになった背景があります。

本稿では、一般的な呼称である「悪意がある人・攻撃する人=ハッカー」で表現を統一することにします。

「退会処理」は2種類ある?物理削除と論理削除について

まず、「退会する」と一言で言っても、アプリやwebサービスの内部にあるプログラムではいったいどのような処理を行っているでしょうか?

実は、

  • 物理削除・・・データベースから、物理的に情報を消し去る方法のこと
  • 論理削除・・・データベースに「この人は退会したよ」と目印を保存して起き、目印がある場合はログインできなくする方法のこと

の2種類があります。

そもそも個人情報はどこに保存されているの?

そもそも、アプリやwebサービスを通して登録された個人情報はいったいどこに保存されているのでしょうか?

それは、「データベース」です。

下の画像をみてください。

サービスの運営側は、必ずデータベースを持っています。

データベースとは、「データ(文字や画像、動画など)」を保存しておく「基地(ベース)」のこと。

⇒様々な情報を記録しておくところです。

ユーザが会員登録をしたとき、運営側のデータベースにそれらの情報が登録されます。データベースにあなたの情報が書き込まれることで、「会員された」と運営側が知ることができます。

物理削除って何?

では次に本題の「物理削除」についてお話していきます。

先ほど、「ユーザの様々な情報は、運営側が所持しているデータベースに記録される」と話しました。

そのデータベースに保存されている様々な情報をどのように消去するのか?ということに対して、「物理的にデータを消す方法」が「物理削除」です。

文字で書いてもなかなかイメージが付きにくいと思うので、簡単に図にしてみました。以下の図を見てください。

例えば、左側の図のような構成で、データベースに情報が保存されているとします。

この時、「100002:木村」さんの情報を物理削除をするとします。

右側の図のように、情報自体がパッと消えていますね。これが「物理削除」です。名前の由来の通り、物理的に情報を消しています。

今、あなたが使っているスマホアプリやWebサービスにおいて、運営側がこのような方法で退会手続きを行っているとしたら、その運営側はとても信頼できるという意味にもなりますね。

ではなぜ、物理削除は一番安全なのか?を次章で解説していきます。

⇒なぜ、物理削除は安心できるのか?

それは、前章の図でも確認した通り、データベース上から情報を消しているからにほかなりません。

つまり、一度データベースから消してしまえば、運営側の社員ですらあなたが登録した個人情報を閲覧することができなくなります。

もしデータベースからUSBなどにコピーしていたら別ですが、優良会社、というか真っ当な会社であればそのようなことはしません。逆に、そのようなことをしている会社が提供しているアプリやWebサービスは「危険」だと判断することができます。

補足:情報漏洩をする一番多い原因はハッカーではない!?実は社員によるものが多い

ここで少し余談ですが、実は、アプリやWebサービスに侵入して個人情報を流出させる人は、悪意を持ったハッカーではないことを、ご存知でしょうか。

このグラフをみてください。少し前の情報にはなりますが、50.8%となんと半数以上がその会社で働いている社員によるミスが原因なのです。

紛失・置き忘れ・・・全体の26.2%
業務中の誤操作・・・全体の24.6%

⇒合計で50.8%

2018年 情報セキュリティインシデントに関する調査報告書 【速報版】

また、不正アクセスや会社の管理ミスによって引き起こされる個人情報漏洩も、物理的に削除してしまえば、そもそも閲覧することもできません。

つまり、アプリやWebサービスを運営している会社の社員ですら閲覧できないようにしてしまう物理削除が、一番セキュリティが高くなります。

論理削除って何?

では次に、論理削除についてお話していきます。

論理削除とは物理削除とは反対で、「データベースからは情報は消さない。目印を付けておき、削除したものとみなす」方法です。

こちらも文章だけではイメージが付きにくいと思うので、またまた図にしてみました。以下の図をみてください。

論理削除では、新しい列が追加されていることにお気付きでしょうか?

例えば、「100002:木村」さんが退会しようとしたとします。

この時、もし運営側で論理削除の方式が採用されていたとします。木村さんは退会すると「削除目印=あり」に変わります。つまり、「退会している会員であるとみなされた」という意味です。

「削除目印=あり(退会しているとみなされた)」なのでログインしようとすると、もちろんログインはできません。しかし、運営側のデータベース上にはまだ情報が残っています。

これが「論理削除」方式です。

⇒なぜ、論理削除は危ないの?

それは先ほどお話ししたことと被りますが「運営側は退会したユーザの情報をいつでも閲覧することができる状態」だからです。

【 補足:情報漏洩をする一番多い原因はハッカーではない!?実は社員によるものが多い 】で紹介した通り、個人情報漏洩で多い原因は、社員さんたちによるミスなのです。

つまり、会員登録したすべてのユーザーの情報をいつでも見ることができるのが危険ということになります。

このような管理体制だった場合は、悪意を持ったハッカーからも格好の餌食になりますし、悪意を持った社員が個人情報を持ち出してしまう可能性だって増大してしまうのです。

物理削除と論理削除を見分ける方法は?

残念ながらありません。

あるにはありますが、そのアプリやWebサービスを提供している会社の社員になるしか、判別することはできないのです。

そのため、情報漏洩に巻き込まれずに上手にアプリやWebサービスと付き合っていくために、必要な考え方があります。それは次章で解説していきます

情報漏洩に巻き込まれないための考え方/対策

この章では、情報漏洩に巻き込まれないための考え方についてお話していきます。

おさらいすると、あなたが登録した情報は、運営側のデータベースに保存されることを知りました。

次に、データベースから情報を消す方法は、物理削除と論理削除の2種類の方式があることも知りました。

そして、どちらの方式を採用しているのかは、一般ユーザーでは判別ができないことも知りました。

ではどうすればよいのか?

それは、「どのアプリやWebサービスを使う場合も、『論理削除である』ことを想定する」ことが有効です。

車の運転と同じですね。「角から人が来るかもしれない」と考えて常に予防線を張っておけば、もしもの時にも柔軟に対処できます。

それと同じで、「どのアプリやWebサービスも、論理削除が採用されていると考えておけば、漏洩に巻き込まれない対策が取れる」ことになります。

具体例1:退会前にはクレジットカード情報や銀行口座番号を消す

退会してしまうと、自分で登録情報を書き換えたり消したりすることができなくなってしまいます。そのため、退会する前に必ず、自分で登録した個人情報を消しておくことが効果的です。

そうすることで例え不正アクセスが起きた場合でも、そもそも登録されていなければ、何も心配する必要がなく、安心できます。

しかし、電子決済アプリや一部のサイトではユーザー自身で登録情報を消したり書き換えたりということができないものも存在しています。例えば、メルカリがその例です。

https://taikaisenka.com/mercari-taikai-tejun/

この記事でも書きましたが、自分で登録情報を消すことができない場合は、「架空の情報に書き換えておく」ことで代替可能です。

そうすれば、例え外部流出されたとしても、実際に自分が使っている本当にクレジットカード番号や銀行口座番号ではないので、不正送金や不正使用される心配もありません。

このように、金銭がからむ情報は、退会前に削除したり書き換えたりしておくのが賢いやり方だといえます。

具体例2:そもそも登録しない

あまり使いそうにないサイト、ポイント付与されると店員に言われてインストールを促されたアプリなどは、ほとんどの場合、使用する頻度が高くありません。

つまり、不正使用された場合、気づきにくいという難点があります。

たった数十ポイントのために不要なアプリをインストールして、会員登録を行うとそれだけ管理の手間やリスクが積み重なってきます。

また、あまり使いそうにないサイトの場合も同じことが言えます。

これらの場合に有効なのが「そもそも登録しない」ことです。

登録しなければあなたの個人情報が運営側に渡ることもありませんので、漏洩リスクを最小限に抑えることができます。

新しく会員登録をする際には、「本当に使うサイト(アプリ)なのか?」をよく吟味してから行いましょう。

退会専科としては、6か月間使わないアプリやサービスは退会しておくことを推奨しています。

そのため、もし半年間で1-2回しか使わないなと感じる場合は、会員登録を控えることをおすすめします。

具体例3:物理的に削除したことを、運営側に証明してもらう

この方法は、すべての運営側で行っているわけではないので、ある程度限られてしまいますが、それでも中には受け付けてくれる心優しい会社さんも存在しています。

やり方としては、

  1. 電話かメールで運営側に問い合わせる
  2. データベースからの抹消を依頼する(物理的に個人情報を消してほしい旨を伝える)

この2手順だけでOKです。

実際に私もいくつかのサイトでこの方法をやって貰えました。

少しでも情報漏洩が起きた場合のリスクを最小限にしたい場合は、この方法も併せて活用してみてください。

結び

いかがだったでしょうか。

少しIT知識が必要な側面もありましたが、2021年、令和の時代になった今、「知らぬ存ぜぬ」のような姿勢では、誰もあなたの個人情報を守ってくれません。

ITが進歩はとても速いです。便利な世の中になると同時に、なかなか専門的な言葉や仕組みが多く難しく感じるかもしれませんが、個人情報を守るのはあなた自身です。

小学校でもプログラミングが必修化されるなど、ますますIT知識の常識化は進んでいくでしょう。

本稿で紹介したデータベースや会員登録の仕組みをしっかりと理解した上で、少しずつITの知識を覚えていき、多発している情報漏洩事件から我が身を守っていきましょう。

]]> https://taikaisenka.com/buturi-sakujo-ronri-sakujo/feed/ 0 【Googleアナリティクス】ロリポップ・JINで「403」となり設定できない場合 https://taikaisenka.com/google-analytics-jin-403error/ https://taikaisenka.com/google-analytics-jin-403error/#respond Sun, 18 Jul 2021 02:58:14 +0000 https://taikaisenka.com/?p=107 こんにちは!ユウナです!

サイト運営において、やはり自分のサイトがどれだけのアクセス数を持っているのか?どんな方に見てもらっているのか?はとても気になりますよね。

私も本サイト運営するにあたり分析したいので、Googleアナリティクスを導入しようと試みました。

しかし、「403」ページが発生し、うまく登録できずしばらく躓いたので、登録する方法を紹介していきます。

はじめに

注意点

さっそく注意点なのですが、本稿で紹介する手順は、データベース自体を操作するため、ちょっとしたIT知識が必要になります。

間違った設定をしてしまったり、データを削除してしまったりすると取り返しがつかなくなるので、注意して設定作業をしてください!

また、本稿ではGoogleアナリティクスタグはすでに取得済みであることを想定しています。そのため、もしまだタグを取得していない方は、別の記事を参考にして、取得してください。

環境

私が使っている環境は以下の通りです。

  • レンタルサーバー:ロリポップ ライトプラン
    • データベース:phpMyAdmin
  • WordPress:JIN

Googleアナリティクスタグを設定できない現象

まず、どんな現象になっているかを見てみましょう。

まず、ワードプレスの管理者画面を開きます。

次に、「HTMLタグ設定」を開きます。

そして、「【head内】」に生成したGoogleアナリティクスタグを入力します。

最後に、「変更を保存」ボタンを押します。

そうすると、「403 Error 現在、このページへのアクセスは禁止されています。 サイト管理者の方はページの権限設定等が適切かご確認ください。」というページになってしまうのです。

まずは調べてみる

似た症状になって解決法を発信している記事がないかを調べてみました。

するとテーマJIN グーグルアナリティクス設定ができないに紹介されていました。私と同じ環境でしたので、さっそくWAFを無効にしてみました。

※記事を引用させていただきました。

ロリポップでWAFを無効化設定

しかし結果は変わらず。。。403のままでした。

ワードプレスはレンタルサーバー側のデータベースに保存されているため、直接値を変更することにしました。

Googleアナリティクス設定手順(データベース操作)

1.403となった、HTMLタグ設定ページのURLを確認する

URLバーを見てください。「ドメイン/wp-admin/options.php」となっていることが分かります。

2.URLに「?a=0」パラメータを付けて、アクセスする

ワードプレスの設定の詳細が見られます。この中にある「space_head」項目に、Googleアナリティクスのタグが設定されることになります。

もしこの時に「space_head」が存在しない場合は、「HTMLタグ設定」>「【head内】」に適当な文字を入れて「登録」ボタンを押してください

※head内に何かしらの値を入れて1回も保存していないような初期の場合だと、space_headが現れないためです。

※今回の例では、「sssss」を入力しました。何かしらの文字列を入力し、保存してから、再度「URLに「?a=0」パラメータを付けて、アクセス」してみてください。

3.データベース「options」テーブルの値を書き換える

次に、ロリポップのphpMyAdminを開いて、Wordpressのテーブルを見てみましょう。

phpMyAdminデータベースを開くと、このように接頭辞「wp_」から始まる文字列がいくつかあることが分かります。Wordpressは、wp_から始まるテーブルにすべての情報が入っているのです。

その中で今回は「オプション」関連の情報を書き換えるため、「wp_…….._options」というテーブルを開きます。

テーブルを開き「space_head」を検索します。

ここに直接、Googleアナリティクスのタグを書き込みます。

これで、テーブル側の書き換えは完了です!お疲れ様でした。

4.動作確認

では、自身のサイトを見てみましょう。

サイト内のどこでもいいので、「マウスの右クリック」>「ページのソースを表示」を選択します。

次に、キーボードの「CTRL+F」を同時押しして、「/head」文字列を検索します。

ありました!無事に設定されていることを確認できました。

お疲れ様でした。

結び

WordPressのデータは、ほとんどがサーバ側に保管されるということが分かれば、例えWordpres上から修正変更できなくても、データベースを直接編集すればいいことが分かりますね!

ユウナ

ただし慣れないうちは、誤操作によるデータ喪失などの危険性を防ぐために、バックアップを取ったり、慎重に作業したりと、注意深く進めていってください。

]]> https://taikaisenka.com/google-analytics-jin-403error/feed/ 0