セキュリティの
学び場

今回の解説ニュース

企業の公式Webサイトが不正アクセスの被害にあった経緯について発表されています。不正アクセスなど、不測の事態で被害を最小限に抑える対策について説明します。

今回のインシデントは、Webサイトの管理を委託する事業者から不正アクセスの疑いについて報告があり、専門会社が調査を行ったところ、何者かがWebサーバに侵入したことが判明したということです。インシデントの原因として、システム上の脆弱性を悪用されたことが挙げられていますが、具体的な脆弱性の内容については公表されていません。また、対策として、Webサイトを停止して外部からのアクセスを全て遮断したということです。

再発防止策として、継続的に専門事業者のアドバイスを受ける等して、セキュリティ対策及び監視体制を強化すると発表されています。なお、12月1日にWebサイトの運用は再開されています。

不正アクセス被害時に情報漏洩を少しでも減らすには

不正アクセスがあった際に、情報漏洩を少しでも減らす方法として、不要な情報は持たせないことと、要件の異なるシステムと切り分けることが考えられます。それぞれについて説明します。

不正アクセスの被害にあってしまった場合、そのサーバに保存されているファイルはすべて閲覧されてしまう可能性があります。Webサーバであれば、Webアプリケーションのソースコードに書かれた内容はすべて読み取られてしまうと考えた方がよいでしょう。その際に、ソースコードに不要な情報が書かれていると、そこから情報が漏えいしてしまう可能性があります。例えば、ソースコードのコメントには、開発者が残した様々な情報が書かれています。コメントは開発者が情報共有するために必要な機能ですが、不要な機密情報が残されていると、そこから情報が漏洩してしまい、そのような事例が実際に発生しています。

また、不正アクセスの被害にあったシステムと要件の異なるシステムがすべて同じサーバ上に構築されていた場合、脆弱性が存在していないシステムも不正アクセスの被害を受けてしまう可能性があります。具体的には、公式Webサイトと会員サイトが同じサーバ上に構築されていた場合、公式Webサイトに個人情報がなかったとしても、同じサーバ上に構築された会員サイトから個人情報が漏洩してしまう可能性があります。

今回のインシデントを例にとると、個人情報を保持するWebサイトは別のシステムを使用していたので、今回の影響はないと発表されています。

不測の事態に備える為の「ディザスタリカバリ」という概念

不正アクセスだけでなく、自然災害など不測の事態に備えるために、ディザスタリカバリという概念があります。ディザスタリカバリについて説明します。

不測の事態を想定した行動様式をまとめる

ディザスタリカバリとは、災害復旧と訳される、組織が事業を継続させるために選択できる考え方のひとつです。自然災害や不正アクセスを問わず、その被害を最小限に抑えるための対策として、事業を継続させるために必要なポリシーや手順などがまとめられます。
例えば、従業員の方が在宅勤務をしていて、ディザスタリカバリを考えるとします。もし、自宅のネットワークが使えなくなったら、代わりにスマートフォンのテザリングが使えるよう、事前に準備することができます。ただし、自宅が火事で在宅勤務自体が難しくなってしまった場合、オフィスに出社して仕事を続けることができます。それでも、東京で地震が発生した場合、オフィスに出社すること自体が難しいかもしれません。その場合、数日は仕事ができないかもしれませんが、宮崎のオフィスなら仕事を続けられる可能性があります。

求められる事業継続レベルに合わせたディザスタリカバリの検討を

このように、災害の規模に応じて事業が停止する時間や復旧までの手順を整理しておくことは、事業を継続させる観点からも重要とされています。もちろん、想定する規模や範囲が広ければ、それにかかる費用も増えてしまいますので、求められる事業継続レベルに対して適切なディザスタリカバリを考えることが必要です。