ニュース
» 2009年11月19日 08時45分 公開

企業が考えるべき情報セキュリティの新たな方向性新時代の対策(2/2 ページ)

[國谷武史,ITmedia]
前のページへ 1|2       

事件に学んだセキュリティ対策の強化術

安田氏 安田氏

 安田氏は、2005年5月に発生した不正アクセス事件から、同社が現在まで継続しているセキュリティへの取り組みを紹介した。

 事件では、攻撃者が同社の主力サイト「価格.com」の脆弱性を突いてデータべースへ不正に侵入し、2万2511件のメールアドレスを盗み出した。さらに、Webサイトの閲覧者をトロイの木馬に感染させる不正なJava Scriptをサイトに埋め込んで改ざんした。

 まず、5月11日にユーザーからトロイの木馬に感染したという報告があり、同社ではすぐに対応したものの、攻撃が繰り返された。事態悪化を受けて、同社は14日夜にサイトを閉鎖してユーザーに告知している。24日夜に再開するまで、10日間にわたってサービス停止に追い込まれた。

 「当時はマルウェアを検出できる製品が1つしかなく、被害の影響がどの程度かを判断するのが難しかった。最終的に抜本的な対応を講じる必要性を考え、サービス停止を決断した」(安田氏)

 停止による影響で、サイトのページビューや利用者数、売り上げや利益が大幅に減少したという。また、同年1月に東証マザーズから1部へ再上場したばかりだったが、同社株価も下落した。「新サービスも相次いで展開していた時期だけに、経営的にも深刻なダメージを受けた」(同氏)

 事件によって同社が直面した課題が、サービス停止に伴う混乱やユーザー離れ、社員のモチベーションの低下、パートナーのビジネスと株主や株式市場への影響だ。ユーザーへの対応では外部の協力も得て24時間体制で対応したが、再開後への影響は未知数だった。社員は自社のサービスに誇りを持っていただけに、事件によって自信や意欲を失いかねない事態になったという。安田氏は、「パートナー企業や株主、市場への影響も大きく、これらの課題にも並行して対処しなければならなかった」と、当時の状況を振り返った。

 事件を契機にしたセキュリティ対策では、システムと社内、社外の3つの点で現在までにさまざまな取り組みを継続している。

 事件当時、システム面ではまずOSを含めたすべてのソフトをクリーンインストールし直した。これは攻撃者がシステムの深部に侵入した可能性があるためで、100台以上のサーバと多数のクライアントPCを再構築した。同時に1000種以上のプログラムもすべてのコードを再点検し、システム全体や本社とデータセンター間の通信を常時監視する体制を構築している。

 サービス再開までの10日間で大部分の対策を講じたが、すべての対策を構築するまでに最終的には3カ月近い期間を要したという。例えばシステム開発では、「事業部門の依頼と開発→プロジェクトリーダーによるコードチェック→ツールを利用した社内での脆弱性検査→外部専門家による脆弱性検査→本番運用」というプロセスを導入している。

 「運用後も外部専門家による定期検査を実施し、すべてのプロジェクトを同じプロセスで進める体制を続けている。こうしたセキュリティリスクには技術で対処するしかなく、組織全体でセキュリティ技術を恒常的に高めるようにしている」と安田氏は話す。

 社内における対策では、セキュリティを優先する企業文化の構築に重点が置かれている。技術力に加えて、社員全体でセキュリティへの意識を高めるのが狙いだという。

 例えば社長直下に組織されている「情報セキュリティ室」は、セキュリティ問題へ経営レベルで迅速に対応できることを目的としている。また、外部の有識者を交えた会議を半年に一度開催し、対策内容を客観的に判断する。セキュリティ対策への投資も積極的であり、特にエンジニアに対するセキュリティ技術の教育や、社員全員での情報管理の徹底を重要テーマに位置付けている。

 また安田氏はこうした体制に加えて、外部の専門組織と平時から協力できる体制も準備していると説明する。同社では情報セキュリティ室の傘下に、セキュリティ問題へ緊急対応する「KKCSIRT(Kakaku.com Security Incident Response Team)」も設置している。KKCSIRTはコンピュータインシデントの問題に対応する国際的な専門組織「FIRST」にも加盟しており、世界各国のセキュリティ対応機関や企業の対応チーム、国内では各社のチームやJPCERTコーディネーションセンターなどと、日常的に情報を交わしたり、協力したりしている。

 「最近のリスクの特徴や実際に対応したノウハウを提供してもらえるなど、専門家チームによる横のつながりは非常に大切。万が一の事態へお互いに協力できる関係を構築しておくことを事件から学ぶことができた」(同氏)

 事件における社外への対応には、ユーザーからの問い合わせや警察および監督官庁への連絡、株式市場やマスコミへの情報開示があった。「適切な対策を講じていたにもかかわらず不正アクセスが確認されれば、犯罪として警察と協力することになる。同時に社会への情報開示も大切だが、対応の途中でどの程度まで情報を明らかにできるかは判断に迷う」(同氏)

 総括として安田氏は、セキュリティ事故が企業にとって致命的になること、セキュリティの技術や意識を常に高めていくこと、対策の継続と定期的に直すことを挙げた。これらは企業がセキュリティに取り組む上で重要になり、外部も含めた情報網を用意しておくことがポイントになる。

 「事件はセキュリティの見方を大きく変える経験になった。特に当社のような情報サービス企業にとって、システムやWebやビジネスの屋台骨である。セキュリティを最も大切にする文化を醸成していただきたい」と、安田氏はアドバイスしている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ