SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT人材枯渇に備える

なぜ10日間もサービスを停止したのか―壊滅的なダメージを受けたセキュリティ事故から、CTOがたどり着いた「現実的なセキュリティ対策」

最終回 

 第6回までIT人材の枯渇をテーマとした連載を続けてきました。最終回となる今回は少しテーマを変えて、昨今のIT業界でも旬であり、常に旬である、セキュリティについて書いてみたいと思います。セキュリティと言っても幅広く、今回は私の経験に基づいた、セキュリティ対策の勘所と、実際の事故に遭遇した時の体験談を書いてみたいと思います。

 遡ること11年前2008年9月30日、事件は起きました。もう11年も経ったのかというのが、今の率直な感想です。今振り返っても私のIT業界のキャリアの中で心身ともに壊滅的なダメージを受けた経験でもあり、後のCTOとしてのキャリアの第1歩でもあったセキュリティ事故でした。2008年の6月にITの責任者に就任し3か月後の出来事でした。

 当時のセキュリティ事故のほとんどはSQLインジェクションやクロスサイトスクリプティング、CSRFを中心とした改ざん、情報漏洩でした。弊社のセキュリティ事故では、SQLインジェクションによる会員情報を保持していたデータベースの一部を改ざんされ、弊社が配信していたメールマガジンの一部に悪意のあるサイトへのリンクが埋め込まれるといった内容でした。実際の事故は9月30日に発見されたのですが、実は予兆があり、事故の数か月前にも不正アクセスと思われるトランザクションを検知していました。そこで付け焼刃のIDSの導入に踏み切り、まさに運用を開始したその時でした。幸いにして分かりやすい改ざんであったことやIDSでの検知がされたため、障害検知はかなり早いタイミングでできました。問題は障害を検知してからでした。

 セキュリティ事故が発生したときに真っ先に行うのが、事象の把握と影響調査です。「どこに」「何が」「どのくらい」といった基本的な影響調査を行うわけですが、当時の弊社はアプリケーションの作りは開発者に依存し開発者でも分からないソースコードも存在していましたし、ドキュメントはなく、まさに影響調査を行うことなど至難の業でした。

 これが今回のテーマのメインでもありますが、セキュリティ対策の肝は、当然、侵入されない(されにくくする)事は重要ですが、ことセキュリティ対策においては性悪説に立った対策が必要です。つまり、入り口の壁を高く頑丈にしても、悪意のある者が本気を出せば入口の壁などないに等しいと思うことです。泥棒もそうかもしれませんが、不正アクセスにも順番があります。入り口に穴がないかの調査をまずは行います。侵入したら気付かれるのか。侵入に対する難易度を測るわけです。入口に穴があり侵入可能となると次は家の中に何があるのか探ります。金目の物や目的の物がなければ単なる侵入に過ぎず、侵入者もリスクしかありません。

 金目のモノや目当てのモノが見つかると、次に逃走経路を探ります。逃走経路にわざわざ痕跡を残したり逆探知されるようなマネはしません。そうやって侵入から情報漏洩につながるわけです。

次のページ
何を守り、どこで守るのか

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT人材枯渇に備える連載記事一覧

もっと読む

この記事の著者

渡邉 信之(ワタナベ ノブユキ)

ITベンダにて主に金融系システムの開発に従事、その後プロジェクトマネージャーとして大規模開発プロジェクトに参画。2006年ゴルフダイジェスト・オンライン入社、現在はタイ事業推進室室長として活動中

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12370 2019/08/27 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング