災害に備えて・・・ITシステムのセキュリティ対策 12月のマンスリーセキュリティレポート

サイバー犯罪者は常にターゲットを探しており、攻撃の手法や技術も進化させています。そのため、強力なセキュリティ対策を構築していても、100％の防御は難しいのです。マンスリーセキュリティレポートでは、特徴的な情報漏えい事件やセキュリティ侵害事件、業界の話題などをピックアップし、考察していきます。

【目次】
・2016年12月の情報漏えい事件
・漏えい事件の原因を考察
・どうすれば漏えい事件を防げたのか
・2016年12月のトピック

2016年12月の情報漏えい事件

2016年12月も、いくつかの情報漏えい事件が発生しました。今回はその中から、特徴的な2つの事件を取り上げます。まず12月9日、通販サイトにおいて利用者の情報が別の利用者の画面に表示されるという事件が発生したと発表がありました。同様の漏えい事件が1件、発生しています。

これは、同通販サイトを利用した際に入力した会員番号や住所、氏名、商品の購入情報などが、同時間帯にアクセスした別の利用者の画面に表示されてしまったというものです。なお、クレジットカード番号や口座情報を含む信用情報項目、同サービスのID、電話番号、生年月日は含まれていないとしています。この状況は特定の条件下でのみ発生するもので、他の利用者に表示された利用者は54名としています。

12月20日には、教育機関において個人情報および入試に関する情報が記録されたUSBメモリを紛失したという発表がありました。これは同教育機関の教員が紛失したもので、帰宅時にUSBメモリを持ち出し、その翌日に紛失に気づき自宅最寄り駅の交番に紛失の届出を行ったといいます。

紛失したUSBメモリには、学会シンポジウム参加者38名の名簿（うち11名は個人の住所を記載）、平成29年どの学部入試に向け検討していた問題の素材（案）、作成途中の論文、講義用のデータなどが記録されていました。なお、紛失したUSBメモリは教員が個人用として使用していたもので、データの暗号化などは実施してなかったといいます。

 

漏えい事件の原因を考察

通販サイトの事件は、商品の購入画面に他の利用者の情報が表示されてしまうというものでした。個人情報を他の会員に知られてしまうだけでなく、たとえばクレジットカード情報を登録しておけるようなシステムであったら、本人になりすまして買い物をされてしまう可能性もあります。

同サイトでは原因について、「サイトのネットワークサーバー切り替えにともなう障害」と説明しています。この会社はサーバーサービスを利用していると思われますが、そのサーバー事業者ではアクセスが増加した際に、個人情報を含まないページをサーバー上にキャッシュ（一時的に保存）し、負荷を分散しています。しかし、サーバーの障害で個人情報を含むページまでキャッシュ化されてしまい、その後にアクセスした利用者にキャッシュされた内容が表示されてしまったとしています。

キャッシュから情報が漏えいする仕組み（出典：IPAの資料より）

教育機関の事件では、個人情報や入試に関する情報を記録したUSBメモリを紛失したというもので、もし悪意のある第三者が拾った場合には、それらの情報を悪用される可能性があります。紛失をゼロにすることは難しいので、紛失を想定した対策、あるいは運用ができていなかったと推測できます。

 

どうすれば漏えい事件を防げたのか

通販サイトの事件は、サイトへのアクセスが集中した際の負荷分散が、サーバーの障害でうまく機能しなかったことが原因としています。本来、こうした個人情報を入力するようなページでは、その利用者とのセッション（情報のやり取り）が終了すると、入力した情報はクリアされます。しかし今回のケースでは、入力した情報がクリアされず、別の利用者がアクセスしたときに表示されてしまいました。

今回の原因は、キャッシュサーバーの設定ミスである可能性が高いといえます。特に重要なデータを扱う場合には、こうした設定のチェックを複数人で行うなど、運用面の改善が必要でしょう。発表にあったように、アクセスの集中によってサーバーの負荷が上がり、正常な処理ができなくなったのであれば、サーバーを増強する必要があるかも知れません。ただし、物理的な環境でサーバーを増強すると、アクセスが少ないときは無駄になってしまいます。仮想化されたクラウド環境であれば、アクセスの増減に応じてサーバーの数やスペック、回線の帯域などを柔軟に変更できるので、IaaSなどのクラウドサービスの利用も検討するとよいでしょう。

サーバーを増強する方法

教育機関の事件は、USBメモリの扱いについて明確な運用基準がなかった、あるいはそれが守られていなかったことが原因といえます。そのため、ルール作りや見直しが必要になるでしょう。USBメモリは手軽にデータを持ち出すことができます。しかも、大容量化、低価格化が進んでいますので、容易に入手できます。以前は、USBメモリやUSB接続の周辺機器を使用できないように、USBポートを物理的にふさいでしまう業種もあったほどです。

しかし最近では、デバイス制御機能が進化し、資産管理製品などでもUSBメモリの制御ができるようになりました。たとえば、USBメモリの製品名や個体番号（シリアルナンバー）などを管理して、会社が支給するUSBメモリしか使えないようにしたり、マウスやキーボード以外のUSB機器を使用できないようにしたり、USBメモリに書き込んだデータを自動的に暗号化したりできます。

また、システム的な対策だけでなく、安全な運用のためのルール作りも重要です。従業員に紛失した際のリスクを認識させるとともに、会社支給のUSBメモリしか使用しない、持ち出せるデータを限定する（重要なデータは持ち出さない）、データを持ち出すときには暗号化する、常にUSBメモリの数や場所を把握しておくといったルールを作り、定期的に見直しながら改善し運用サイクルを回していくことが重要です。

 

2016年12月のトピック

2016年12月には、新潟県糸魚川市で大規模な火災が発生しました。22日昼前に発生した火災は23日の夕方まで延焼を続け、約4万平方メートル、144棟を焼き尽くしました。建物の焼損面積から、消防庁が定義する「大火」となり、災害救助法や被災者生活再建支援法も適用されました。北陸地方ではフェーン現象により過去にもいくつかの大火が発生しています。

こうした災害は、事業継続を脅かすだけでなく、いわゆる「火事場泥棒」の被害に遭う危険性もあります。企業がBCP（事業継続対策）を策定する際には、火災も想定した対応策を決めておくべきでしょう。BCPでは、まず企業にとって緊急時に優先して継続、早期復旧を行うべき事業を「中核事業」として特定します。そして、中核事業を復旧する目標時間を定めます。

中核事業を復旧する目標時間を定めたら、それを実現するために必要なリソースをリストアップし、平常時から行える準備や対策、代替案を用意していきます。リソースは、人材や設備、原材料、資金、情報などが挙げられますが、企業の業種や規模などにより異なります。特に現在では、ITシステムの継続が重要といえます。

火災の場合、企業にある物理的なIT機器は大きなダメージを受け、完全な復旧は望めないでしょう。重要書類など紙のものは、耐火金庫などに入れておくことで守れるかも知れませんが、もともと熱に弱いIT機器が長時間にわたって炎にさらされるのですから、再利用は期待できません。ただし、IT機器にある重要な情報のほとんどはデータですから、たとえば遠隔地にバックアップしておくことで、ITシステムによる事業継続が可能になります。

たとえばITシステムをクラウド上に置くことで、企業の建物にあるIT機器が全滅してしまっても、別の機器からクラウドにアクセスして事業を継続できます。あるいは、遠隔地のデータセンターにも同じシステムを構築し、リアルタイムにバックアップを取っておけば、災害時にはバックアップ側をメインのシステムとして切り替えることで事業を継続できます。

ただし、あまりに万全を期そうとするとコストも過度にかかってしまいますので、基本的には中核事業の継続を念頭にBCPを策定していくべきでしょう。また、火災や地震、洪水など企業の建物から全員が避難することを想定し、すべてのシステムに認証機能を持たせるべきでしょう。いわゆる火事場泥棒が、生き残ったシステムに不正操作を行う可能性がないとはいえないためです。日本は自然災害の多い国ですから、発生することを前提に日頃から対策を意識しましょう。

緊急時におけるBCP導入効果のイメージ（出典：中小企業庁）