富士通、不正通信問題で約束したセキュリティ強化策と再発防止策を報告

富士通からFENICSインターネットサービス不正通信問題の調査結果において約束していたセキュリティ強化策と再発防止策が発表された。同社はこうした取り組みを通じて再発防止に努めるとしている。

[後藤大地，有限会社オングス]

　富士通は2023年3月31日、「FENICSインターネットサービス」に関するネットワーク機器において不正な通信が実行されていた問題の調査結果を受け、セキュリティ強化策と再発防止策を発表した。同問題は2022年12月に起きた。

富士通は、FENICSインターネットサービスに関するネットワーク機器からの不正な通信についてセキュリティ強化策および再発防止策を発表した（出典：富士通のWebサイト）

不正通信の再発防止策　実施済みと実施予定を発表

　富士通はまず、今回のサイバーセキュリティインシデントの発生に至った原因として以下の3つの項目を説明した。

1. 一部のネットワーク機器において外部からのアクセス制御設定が適切に実施されておらず、外部からの不正侵入が可能になっていた。また、設定状態のチェックが不十分であり、設定不備を検出できなかった
2. ネットワーク機器からの通信制限が不十分でインターネットへの通信が可能になっていた。トラフィック監査も不十分でネットワーク機器における不正通信を検知できなかった
3. サービス運用者のログイン状況の監視が不十分であり、不正アクセスを検知できなかった

　富士通は2023年3月末までに以下のセキュリティ強化策を追加で実施したと報告している。

• 通信フローを分析して不審なトラフィックを早期に検出する仕組みの構築（監視整備および体制強化）
• ネットワーク機器およびサーバ機器における不審な挙動を検出する仕組みの構築
• ネットワーク機器へのログイン認証方式の強化

　さらに再発防止に向けて今後は以下の防止策に取り組むと説明している。

• 全社セキュリティ部門の第三者による監査を実施および情報収集や対策見直し、インシデント発生時の迅速な調査および対応を行う選任体制の整備によるセキュリティ統制機能の強化
• 全社セキュリティ部門と連携し、運用ルール・ポリシーの見直しおよび統一化
• セキュリティ運用ルール・ポリシーの定期的見直し、セキュリティ対策適用状況の定期確認による対策の有効性確認などによるセキュリティ対策の有効性検証

　同社は引き続き、セキュリティインシデント再発防止策の履行状況について報告するとしている。