Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

最終回  なぜ10日間もサービスを停止したのか―壊滅的なダメージを受けたセキュリティ事故から、CTOがたどり着いた「現実的なセキュリティ対策」

edited by Security Online   2019/08/27 07:00

 第6回までIT人材の枯渇をテーマとした連載を続けてきました。最終回となる今回は少しテーマを変えて、昨今のIT業界でも旬であり、常に旬である、セキュリティについて書いてみたいと思います。セキュリティと言っても幅広く、今回は私の経験に基づいた、セキュリティ対策の勘所と、実際の事故に遭遇した時の体験談を書いてみたいと思います。

 遡ること11年前2008年9月30日、事件は起きました。もう11年も経ったのかというのが、今の率直な感想です。今振り返っても私のIT業界のキャリアの中で心身ともに壊滅的なダメージを受けた経験でもあり、後のCTOとしてのキャリアの第1歩でもあったセキュリティ事故でした。2008年の6月にITの責任者に就任し3か月後の出来事でした。

 当時のセキュリティ事故のほとんどはSQLインジェクションやクロスサイトスクリプティング、CSRFを中心とした改ざん、情報漏洩でした。弊社のセキュリティ事故では、SQLインジェクションによる会員情報を保持していたデータベースの一部を改ざんされ、弊社が配信していたメールマガジンの一部に悪意のあるサイトへのリンクが埋め込まれるといった内容でした。実際の事故は9月30日に発見されたのですが、実は予兆があり、事故の数か月前にも不正アクセスと思われるトランザクションを検知していました。そこで付け焼刃のIDSの導入に踏み切り、まさに運用を開始したその時でした。幸いにして分かりやすい改ざんであったことやIDSでの検知がされたため、障害検知はかなり早いタイミングでできました。問題は障害を検知してからでした。

 セキュリティ事故が発生したときに真っ先に行うのが、事象の把握と影響調査です。「どこに」「何が」「どのくらい」といった基本的な影響調査を行うわけですが、当時の弊社はアプリケーションの作りは開発者に依存し開発者でも分からないソースコードも存在していましたし、ドキュメントはなく、まさに影響調査を行うことなど至難の業でした。

 これが今回のテーマのメインでもありますが、セキュリティ対策の肝は、当然、侵入されない(されにくくする)事は重要ですが、ことセキュリティ対策においては性悪説に立った対策が必要です。つまり、入り口の壁を高く頑丈にしても、悪意のある者が本気を出せば入口の壁などないに等しいと思うことです。泥棒もそうかもしれませんが、不正アクセスにも順番があります。入り口に穴がないかの調査をまずは行います。侵入したら気付かれるのか。侵入に対する難易度を測るわけです。入口に穴があり侵入可能となると次は家の中に何があるのか探ります。金目の物や目的の物がなければ単なる侵入に過ぎず、侵入者もリスクしかありません。

 金目のモノや目当てのモノが見つかると、次に逃走経路を探ります。逃走経路にわざわざ痕跡を残したり逆探知されるようなマネはしません。そうやって侵入から情報漏洩につながるわけです。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 渡邉 信之(ワタナベ ノブユキ)

    ITベンダにて主に金融系システムの開発に従事、その後プロジェクトマネージャーとして大規模開発プロジェクトに参画。2006年ゴルフダイジェスト・オンライン入社、現在はタイ事業推進室室長として活動中

バックナンバー

連載:IT人材枯渇に備える
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5