PII Disclosure (PII の公開)¶
概要¶
製品が攻撃者から保護する必要がある機密情報には、システム データ、通信、構成、営業機密、知的所有権、個人 (プライベート) 情報など、多くの種類があります。個人情報には、パスワード、電話番号、地理的位置、個人的メッセージ、クレジット カード番号などが含まれます。
個人情報は、個人が製品のユーザーであっても、製品によって処理されるデータ セットの一部であっても、重要とみなされます。個人情報の公開は、必ずしも製品の正常な動作を妨げるわけではなく、実際、他の組織とのデータ共有の一環としてなど、公開が開発者によって意図されたものである場合もあります。しかし、それでも個人情報の公開が望ましくない、あるいは法律または規制によって明示的に禁止されている場合もあります。
個人情報には以下のようなものが含まれます。
- 社会セキュリティ番号などの行政的識別子
- 家の住所や電話番号などの連絡先情報
- クレジット カード番号、給与額、銀行口座、負債額などの金融データ
- 健康 - 医療状態、保険のステータス、処方記録
- アカウント パスワードやその他の認証情報
PII の公開の検出は、現時点ではクレジット カード番号の検出だけが可能です。
推奨事項¶
API の操作にとって絶対に必要でないかぎり、PII などの機密情報を返さないようにします。