セキュリティの
学び場

今回の解説ニュース

基幹システムの障害により、商品の出荷に影響が出たということです。システム障害が発生する主な原因と、新規システムを導入する際に、セキュリティの観点で気を付けるべきポイントについて説明します。

今回のインシデントは、商品の一部について、受発注及び出荷業務に影響が出たというものです。原因として、基幹システムを切り替えた際に発生したシステム障害が挙げられています。
対策として、商品の安定的な供給を目指し、システム改修作業を進めています。同社では今後、対象品目数を拡大していく予定ということです。

システム障害が発生する主な原因

システム障害が発生する主な原因として、サイバー攻撃などの外部要因と、ヒューマンエラーなどの内部要因が挙げられます。

外部要因として、サイバー攻撃、自然災害、停電、通信障害などが原因で、システム障害が発生する場合があります。具体的には、ハッキング、ウイルス感染、地震、雷、台風、洪水、火災、停電、通信ケーブルの断線などが挙げられます。

内部要因として、運用者による誤操作や設定ミス、データ入力ミスなどのヒューマンエラーが原因で、システム障害が発生する場合があります。具体的には、誤ったコマンドの実行、誤った設定変更、不適切なデータ入力、権限設定のミスなどが挙げられます。また、システムの設計段階や開発段階でのミスが原因で、システム障害が発生する場合もあります。具体的には、要件定義の誤り、仕様書の誤り、ロジックエラー、テスト不足などが挙げられます。

これらの原因に加えて、複合的な要因が重なってシステム障害が発生する場合もありますので、システム障害を防ぐためには、これらの原因に対して、それぞれ対策することが重要となります。

セキュリティで気を付けるべきポイント

新規システムを導入する際に、セキュリティの観点で気を付けるべきポイントとして、セキュリティ要件定義を明確にすることが重要です。

セキュリティの要件定義が曖昧だと、適切なセキュリティ対策を講じることができず、システムが脆弱な状態のまま稼働することになる可能性があります。よって、システム導入前に、情報資産の種類、重要度、リスクなどを分析し、必要なセキュリティ対策を明確にすることが重要です。

具体的には、顧客情報、個人情報、機密情報など、取り扱う情報資産の種類や、漏洩した場合の影響度を示す情報資産の重要度などを洗い出します。それらの情報資産に対して、不正アクセス、情報漏洩、改ざん、マルウェア感染など想定される脅威の種類や深刻度に加え、情報資産から洗い出された脆弱性に対して、CVSSスコアなどの指標を用いて、深刻度を評価します。そして、これらが顕在化した場合に想定される損害額や、その発生確率などを鑑みて、リスク分析が行われます。