文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント(下) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント(下)

特集 特集

文系管理者や経営者が昨今のセキュリティ事件に不安を持っていろいろ質問をしても、エンジニアの返答は何を言っているかよくわからないことが多いだろう。そういう方のための三回連載です。


電子証明の期限切れ、保守のタイミングについて説明してきた。最終回は、実際にサーバーに置かれているコンテンツ自身から発見できる脆弱性を見つけるポイントを解説する。システムを動かすには、エンジニア以外の視点も大切なことを理解して頂きたい。

●コンテンツのバラツキ例(1)関連会社同士の運用ポリシーの不一致

グループ会社のホームページを比べると発見されることが多い。同じグループ会社A社とB社ではセキュリティーや個人情報に関する指針が異なっていることがある。一方の子会社(A社)では、親会社の指針をそのままコピーしてホームページに公開しているが、もう一方(B社)は、独自のルールを追加している。このようなケースは珍しくない。この場合、脆弱なサイトは、A社となりやすい。公開して2年経つと、A社の指針はそのままで、B社は独自ルールを見直す。ホームページにルールを更新していくからだ。過去のホームページの違いを確認するには、検索サイトやアーカイブサイト(ホームページを保存するサイト)を利用すれば簡単に発見できる。見直しを行わないA社は既にホームページに公開した内容は安全と思い込んでいる。このため、不正アクセスされても気づくことが遅く、狙われやすいのである。

関連会社には、海外に拠点を持つ現地法人のサイトにも同じことがいえる。国内にある企業と海外現地法人のサイトのドメインが異なる場合、プロバイダーが異なったり、運用ポリシーが異なることがある。システム管理者は、所属する組織が管理する情報システムを管理するので、組織を超えて課題を見つけ出すことは得意ではない。セキュリティー担当者または経営者が技術とは違った視点で脆弱性を見つけ、克服していかなければならない。

不正アクセスを試みる者は、海外現地法人(たとえば、ABCDEメキシコ)のサイトに対して成功すれば、国内のABCDE社を狙わずに、他の海外現地法人(ABCDE台北)のサイトを攻撃していく。攻撃者は日本の本社にはシステム管理者が多い事、セキュリティ対策が施されていること、不正アクセスに関する法律を適用するには膨大な手間がかかる事実を知っている。だからエンジニアの手薄な海外現地法人のサイトを狙うのである。

【執筆:佐藤隆】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×