セキュリティの
学び場

今回の解説ニュース

Webアプリケーションに不正アクセスがあり、顧客情報が漏洩した件について発表されています。不正アクセスの検知や、情報管理の在り方について説明します。

今回のインシデントは、プロジェクト情報共有ツールへの不正アクセスにより、保存されていた顧客情報の一部が閲覧またはダウンロードされたと発表されています。原因として、第三者がシステムの脆弱性をついて正規のIDとパスワードを窃取し、これを使用して不正アクセスを行ったことが挙げられています。

対策として、システムの運用を停止し、関係当局への相談を進めています。また、社長直轄の全社を挙げた体制を構築し、影響範囲及び原因の調査と分析を行うとともに、外部有識者による「検証委員会」を設置、客観的な視点で検証作業を進めています。再発防止策として、運用管理の厳格化、部門ルールの社内確認の強化、運用状況のモニタリング、教育・周知の強化を行うということです。

正規の認証を受けたのに不正アクセス？その検知方法とは

正規のIDとパスワードで不正ログインをされた場合、ログイン元の場所や時間によって不正アクセスかどうか判断できる場合があります。今回のインシデントは詳細について公表されていませんので、あくまでも一般論として説明します。

脆弱性をつかれたり、マルウェアに感染するなどして正規のIDとパスワードが窃取されてしまった場合、ログイン失敗を繰り返さずに正しくログインできるため、通常のアクセスと見分けがつきにくいことが考えられます。そのような場合を想定したセキュリティ対策として、ログイン元の場所や時間から不正アクセスの疑いを検知する方法が挙げられます。

例えば、Aさんは通常、日本国内から平日の日中にログインしてお仕事をされていると思います。これが突然、海外から深夜にログインがあった場合、正規のIDとパスワードであったとしても、怪しいログインとみなすことが妥当であると考えられます。ログイン元の場所については、IPアドレスから国や大まかな地域などを識別することが可能です。

このような情報をリアルタイムに検知するためには、ログイン情報がログに保存されており、監視が行われていることが必要です。今回のインシデントでも「複数のログの収集・管理も一元的に行うことで不正アクセスが疑われる不審な挙動を監視する」と発表されていますので、同様のセキュリティ対策が取られているのではないかと考えられます。

情報管理の強化ポイント「5W1H」を明確に

今回の発表でも多く使われている「情報管理」のポイントについて、今回発表された内容から引用して説明します。結論から言うと、管理する情報について5W1Hが明確になっていることが求められます。

再発防止策は様々な内容が挙がるが

今回の再発防止策として「現状の情報管理の在り方も含めて見直しを行い、従来の情報管理施策に加えて、新たな全社施策を追加する」と発表されています。具体的な内容として「現物確認で情報管理を強化」「情報管理ルールの策定」「情報管理の状況を可視化」「情報管理の啓発と周知徹底」などが挙げられています。

「いつ、どこで、誰が、何を、なぜ、どのように」

これらを分解すると、いつ、どこで、誰が、何の情報を、なぜ、どのように管理しているか、明確にした上で、適切な保護が求められます。例えば、Aさんがプロジェクトの情報を持っていたとすると、その情報がいつからどこに保存されているか、どのように管理しているかなどの情報がわからないと、セキュリティ対策が適切であるか判断することができません。

「5W1H」を明確にし、対策が適切であるかを判断する

まず、管理している情報を一覧化するなどして、5W1Hに関する情報を明確にすることで、初めてセキュリティ対策が適切かを判断できます。これらは、情報資産台帳の作成が様々なセキュリティ基準で求められる理由でもあります。

今回は、不正アクセスの検知と情報管理の在り方についてお届けました。顧客情報に限らず、社内のシステムや利用しているクラウドなど、情報資産全般について管理ができていなければ、これを機に見直してみてはいかがでしょうか。