【マンスリーレポート 2002/06】インシデント事後対応 ベストはサイボウズ、ワーストは首相官邸 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.25(月)

【マンスリーレポート 2002/06】インシデント事後対応 ベストはサイボウズ、ワーストは首相官邸

製品・サービス・業界動向 業界動向

 2002年6月 Prisoner'Choice インシデント事後対応 ベスト&ワースト

 2002年6月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。


>> ベストは、サイボウズ株式会社

 インターネット・イントラネット用ソフトウェアの開発、販売を手がけるサイボウズ社。5月10日、同社が発売するグループウェア、「サイボウズ Office 4.0(1.3)」にクロスサイトスクリプティングの脆弱性が発見された。
 発見者であるoffice 氏は同日、サイボウズ社へ報告。そして5月27日、問題に対応した「Office 4.0(1.4)」が公開された。

 特筆すべきは「Office 4.0(1.4)」の開発と並行しつつ、他製品においても自社で調査、確認してクロスサイトスクリプティングの脆弱性に対応し、対応版をリリースした点である。
 現在では「Office 4.0(1.4)」の他、「サイボウズ ポケット 4.0(0.4) 」「サイボウズ ケータイ 4.0(1.0)」 「DBメーカー バージョン 2.0(0.4)」「サイボウズ AG バージョン 1.0(0.3)」、「サイボウズ AG ポケット 5.0(0.3) 」といった対応版がリリースされている。また、元々脆弱性が存在しなかったためホームページの更新履歴等には記載されていないが、「サイボウズ AG ケータイ」においても問題は対応済み。さらに米国法人Cybozu Corporation が発売している「Share 360」にも同レベルの対応がなされ、見事なまでに各製品とも足並みが揃っている。

 編集部がサイボウズ社に対し取材を行ったところ、本件の対応は企画、開発、サポートの三部門でなされたとのこと。これは今回のための特別措置ではなく、日常で確立されている連携だそうだ。

 また、「サポート以外の部門を経由して、お客様からこの案件に関するお問い合わせなどが入った場合」の情報集約のため全社的な通知も行っていた。

 さて、事後対応の必須ともいえる告知についてだが、「Office 4.0(1.4)」が公開された5月27日、サイト内のバージョン更新履歴やFAQ に掲載された。

 それより以前、21日の段階で他製品の「サイボウズ DB メーカー」の対応版が公開されているが、告知を27日まで延ばしたのは「すべての製品において何らかの対応がなされた状態になるまでは、脆弱性の存在を告知することがかえって危険を増やす可能性があると判断」したためだという。

 また、FAQ で告知を行ったことについては「まったく公表しないことには問題があると考えており、一方でこの脆弱性の影響が極めて少ないお客様に対してまで無用な不安を与えることは避けるべきであると考え、今回の措置になりました」とのコメントを頂いた。実際に情報と対応版の公開後、本件に対する問い合わせはなくなったとのこと。告知は少なすぎず、かつ過剰すぎず。今後の業界全体において、ひとつのヒントになるのではないだろうか。

 インシデント事後対応には模範を示す大まかな指針はあるが、一から十まで右にならえのマニュアルは存在しない。今回のサイボウズ社の円滑な対応は、普段から確立されている対応フローの上で、自社の製品、サービスの特性、それぞれの部門の経験則、ユーザの声などを把握し、照らし合わせた結果であるといえよう。

  サイボウズ株式会社
http://cybozu.co.jp/index.html


>> サイボウズの★取り表

対応の速さ    ★★★★★
報告者との連絡  ★★★★★
社内体制     ★★★★★
ユーザ告知方法  ★★★★★
ユーザ告知内容  ★★★★
その後のフォロー ★★★★★


★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★     最悪 なしあるいはないも同然
★★    申し訳程度。
★★★   許容範囲。
★★★★  適切な対応。
★★★★★ 考えられることは全て対応。迅速。


 ※サイボウズ社の事後対応の詳細レポートは「Scan Incident Report」にて掲載予定です。詳しくは下記URLをご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml

 ※ Scan編集部では、6月6日の時点で、同問題についてのレポートを発表しました。問題発見から対応版リリースまでは 5月に行われていますが、今回、6月のベストとして取り上げさせて頂きました。

 ◇サイボウズ社グループウェアのクロスサイトスクリプティング脆弱性に関するレポートを発表(2002.6.6)
https://www.netsecurity.ne.jp/article/10/5449.html

[ Prisoner Maga ]

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×