文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント(上) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント(上)

特集 特集

文系管理者や経営者が昨今のセキュリティ事件に不安を持っていろいろ質問をしても、エンジニアの返答は何を言っているかよくわからないことが多いだろう。そういう方のための三回連載です。


個人情報は金になる。インターネット上には個人情報を売買するサイトが存在するし、クレジットカード情報は高値で取引されている。メールアドレスならば、直接ネットカジノ業者、出会い系業者、ワンクリック詐欺グループが欲しがる。一方で、個人情報を保有している企業も、当然セキュリティー防御策を講じている。企業に不正アクセスし、個人情報を手に入れるには、不正アクセスを防止する仕組みを回避または、突破しなければならないことになる。

しかし、現在不正アクセスの被害に遭っている企業の多くは、対策が不十分な企業が多い。つまり、当然やるべきセキュリティ対策すら満足に行われていない。不正アクセスする奴らは、強固にセキュリティ対策が施されている企業ではなく、セキュリティー対策が甘い企業を探し、攻撃していく。彼らのポイントを知ることは、すなわち不正アクセスの防止につながる。一般に、不正アクセスを防止するには、技術的な対策が多く取上げられる。しかし、経営者、管理職の立場で十分に防止可能な対策もある。ここでは3回に分け、狙われやすいポイントを解説していく。

●事例1:有効期限切れの放置

不正アクセスされやすい企業には幾つかの特徴がみられる。その例を実際に存在するホームページを例に説明していこう。例えば、先日不正アクセスによって個人情報が漏えいして話題となったアデコのホームページには、次のような記述がある。

 http://www.adecco.co.jp/security.html

「SSL(Secure Sockets Layer)の採用
お客様の個人情報を保護し安心してご利用いただくために、米国ベリサイン社のSSL(Secure Sockets Layer)暗号化通信方式を採用しております。SSLとは、皆様の大切な情報が盗まれたり、意に書き換えられることを防止するためのものです。SSLが採用されているページには、ブラウザの右下に鍵マークが表示されます。」

その横には、ベリサインのセキュア・サイトを証明するマークを確認できる。安全を証明するには、マークをクリックできる仕組みが用意されている。実際にクリックすると、証明に関して有効期限が切れていることが表示される。

─抜粋(ここから)─
 ステータス Expired
 有効期間(GMT) 22-DEC-03 - 21-DEC-04
─抜粋(ここまで)─

ステータスとは、証明が有効か無効の状態を示し、この証明によれば、Expiredつまり「無効」となっている。有効期限は昨年12月に切れている。現在は2005年7月、既に半年経過していることがわかる。たった2行の事実から、このサイト運営状況が垣間見えてくる。例えば、次のような現実があるかもしれない。

・安全を証明する費用を何らかの理由で、削除している。
(例えば、お金が無い、利用者に安全を確保する必要性は無いと判断している、経営者の判断、等)
・たまたま確認したホームページは、古いホームページである。
(ホームページの編成を行っており、古いホームページへリンクが貼られている単純なミス)
・ウェブサーバーのシステム保守や運用作業に滞りが発生している可能性がある。
(システムに対するトラブルに十分な対応ができないことが予想される)
・代替できると判断したセキュリティ対策を施したので、既に不要となったが業務に直接影響しないので放置している
(ちなみに、同社はプライバシーマークを取得済みである)。

これらの理由は、著者の想像に過ぎない。しかし、不正アクセス先を探している者なら、「このサイトはセキュリティ対策が十分に機能していない」と認識するだろう。つまり、企業はホームページで自ら狙われやすい情報を提供しているのである。

教訓1:安全を保証する証明書は、有効期限が切れたら撤去すべし。

【執筆:佐藤隆】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×