セキュリティの
学び場

今回の解説ニュース

設定ミスが原因で、求人サイトから個人情報が閲覧可能であったということです。設定ミスを確認する適切な頻度と、漏洩した際に深刻度の高い情報について説明します。

今回のインシデントは、未公開および削除された「募集記事」「会社ページ」が、当該記事のURLを入力することでアクセス権限を持たない第三者に閲覧できる状態となっていたものです。その後の包括的なリスク評価を実施した結果、合計で10件の類似の不具合が発見されており、「メンバー」として登録されたユーザーの個人情報も閲覧できる状態となっていたということです。原因として、システムの設定ミスが挙げられています。

対策として、全ての問題の修正対応を完了しています。再発防止策として、今後、外部業者による脆弱性診断を行い、ネットワーク経路およびデータベースに対する調査やアドバイスに加えて、セキュリティ強化施策を実施するなど、技術的な安全管理を強化するということです。

設定ミスを確認する適切な頻度

システムの設定ミスがないか確認する頻度として、年1回程度の定期的に行うことや、新規機能追加やシステム改修のリリース前に都度実施することが挙げられます。

設定ミスを含む脆弱性を洗い出す方法として、今回の再発防止策でも、脆弱性診断の実施が挙げられています。定期的に診断を実施することで、前回の診断から新たに発見された脆弱性や、前回の診断では発見できなかった既知の脆弱性の再発を防ぎます。また、新規システムのリリース前や新機能の追加によって新たな脆弱性が作りこまれる可能性があるため、リリース前に都度診断を実施することが必要です。

なお、今回のように、セキュリティインシデントが発生した場合に、原因究明の一環として診断を実施することもあり、診断結果から再発防止策を講じることができます。

漏洩した際に深刻度の高い情報

漏洩した際に深刻度の高い情報として、個人情報や機密情報など、経済的損失や風評被害を受けるものが挙げられます。

まず、漏洩した際に深刻度の高い情報として、個人情報が挙げられます。具体的には、氏名、生年月日、住所、電話番号、メールアドレスなどの基本的な情報に加え、クレジットカード番号、健康情報、パスポート番号など、特定の個人を識別できるものです。漏洩した個人情報が悪用されると、なりすましや不正利用、嫌がらせなど、様々な被害に繋がる可能性があります。

また、企業の知的財産を含む、機密情報が挙げられます。具体的には、製品開発に関する技術情報や営業秘密、顧客リストや事業計画など、企業の競争優位性を維持するために秘匿すべき情報です。漏洩した情報が競合他社へわたってしまうと、市場シェアの低下や新製品開発の遅延、企業イメージの損失など、深刻な経営危機に陥る可能性があります。

一般企業以外にも、国防に関する情報が漏洩した際は、国家安全保障への脅威など、多岐にわたる問題を引き起こす可能性がありますので、設定ミスを含む脆弱性は、未然に洗い出して対策することが求められます。