不正アクセスによるサービス停止――事例から学ぶセキュリティ対策：RSA Conference 2009 JAPAN（2/2 ページ）

[國谷武史，ITmedia]

予知できないから、どうすべき？

　緊急対応では、これら以外にも事件発覚につながったメールの監視や、不正なJavaScriptが埋め込まれないかを監視する体制を構築。緊急レベルの脆弱性の修正も進めた。大日氏は、現在の状況を「集中治療室から出たばかり」といい、システムサービス会社やセキュリティベンダーと共同で対策計画を練った。今後2年ほどかけて、障害対応に強いシステムへ全面的に再構築する。

　事件をきっかけに、同氏はシステム障害を含めたリスク管理や、サービス停止といった経営的な判断基準の明確化、現場レベルでの業務プロセスの見直し、全社規模でのセキュリティ啓発が不可欠であるといったことを学んだという。

　同社は大半のサービスをインターネットで提供しているため、サイトが利用できなくなれば、顧客からの問い合わせなどに直接対応しなければならない。大日氏は、深夜にカスタマーサービスを提供する企業に急遽依頼し、電話対応の窓口を確保した。

　「障害が発生した際の原因究明から顧客や株主への説明までを含めて、リスク発生時のプランを事前に用意しておくべきだ。何が起きるかを正確に予測するのは不可能だが、リスク分析をしておくことで適切な対応フローを整えられる」（同氏）

　現場部門の意識改革も重要な課題の一つ。緊急対応時にチェックしたPCの中には、ウイルスに感染し、ボットマシンとしていつでも外部の攻撃者に不正操作される恐れのある端末が見つかった。「今回はたまたま運が良かった。今では全社で一斉に修正パッチを当てるなどの取り組みも進めている」（同氏）

　事件では、幸いにも情報漏えいや顧客がウイルスに感染したといった二次被害が確認されなかった。しかし、サイト改ざん攻撃ではマルウェアを埋め込まれたり、感染サイトへのリンクが埋め込まれたりする事件が世界的に発生している。大日氏は、「自社サイトが踏み台になっても、自分たちも被害者だという言うわけにはいかない。意図せず加害者になる危険がある」と話す。

　こうした点からも、同氏は情報セキュリティに対する取り組みを経営レベルで長期的に行うべきとアドバイスする。「インターネットで情報を提供しているだけでも、SLAの概念を導入し、常に検査を実施して脆弱性を解消する努力が不可欠」（同氏）。こうした取り組みには多大なコストがかかる。セキュリティへの投資には、経営層の理解を得なければならないことも多い。

　「大抵の場合、経営者はセキュリティに詳しくない。そこで、システム担当者がIPSでブロックした通信の様子をグラフで経営者に見せ、根気強く丁寧に説明していただきたい。不正アクセスは普段では目立たないものの、ある日突然増える。経営者もすぐに気付き、セキュリティ対策の重要性を肌身で感じてくれるはずだ」（同氏）

　こうした取り組みを進めると同時に、事業継続性の観点からも万が一の事態へ適切に対処できる枠組みを整備すべきだという。具体的には、連絡網の整備や対策を実施する判断基準の明確化、顧客や株主、従業員を含めた透明性のある情報提供などである。

　「情報システムはビジネスを支え、投資を回収する不可欠な存在。システムに対する保護はリスク管理の重要なポイントであり、企業には積極的に対策へ取り組んでいただきたい」（大日氏）

過去のセキュリティニュース一覧はこちら