特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう | ScanNetSecurity
2024.04.18(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう

5.そろそろ発想を変えた対策を考えよう

特集 特集
5.そろそろ発想を変えた対策を考えよう

今回の事例はアプリケーションサーバに侵入されていると報道されており、事実であれば、アプリケーション自体を全て収集されていることを前提とした対策は必須だと考えます。ソースコード(設計図)が渡ったということは、さらなる脆弱性の分析を容易にさせます。また、内部への侵入も前提とした対策が肝要です。つまり、まだ、被害にあっていない組織でも、攻撃はインターネットからだけではなく、安全だと考えている内部ネットワークからもあることを前提としたくみ上げが必須となります。

その為には、セキュリティ対策方針の転換が必要な時期に来ていると考えます。それは、侵入を前提と考えることです。昨今のサイバー産業スパイなどのような標的型攻撃は日増しに狡猾になっており、侵入そのものを100%防ぐことは困難になっています。極端なことを言えばコンピュータウイルスが跋扈するところでも安全に仕事ができることを考えるということです。

例えば、良く見かける例として「ウイルス感染したら始末書」というものがあります。ウイルス感染などの「異変に気が付いたときに言われている行動をしなければ始末書」が本来です。ウイルス感染で始末書だったら、みんな感染に対して気が付かない努力をします。それでは本末転倒です。このように、組織でのセキュリティ対策のやり方を変えて行く時期に来ていると考えます。

今回の事件以降、私は数多くの取材を受け、報道がおこなわれるたびに、報道を見た方から以下のような質問を受けます。「今回の攻撃はどうすれば防げたのでしょうか?」この答えに、私はこう答えています。「セキュリティ対策には、特効薬はありません。やるべきことをやるしかないのです。」

それでは、何をやるべきなのかを考えてみたいと思います。

第一に、報道されている内容と同じような手口で被害にあわないかを大至急点検しましょう。今回であれば、アプリケーションサーバの既知の脆弱性を通じて不正アクセスとあるのですから、最低限それは無いことを確認しましょう。一般的なセキュリティ会社であれば、既知のアプリケーションサーバの脆弱性と言えば、どういったものがあるかは見当をつけていることと思います。

次に、出来るだけ早く異変に気付けるようにしましょう。例えば、文章のチェックでもそうですが、間違いはないだろうと思ってチェックするのと、必ず間違いがあるはずだと思ってチェックするのでは結果は異なります。同じように、既に異変は発生しているという前提で日々意識を高めて行きましょう。その為、社員の方のセキュリティ意識を高めることは大変重要です。以前、Webサイト乗っ取り事件が多発した際には、Webコンテンツの開発をしている方のパスワードが盗まれてしまったことが原因でした。社員の情報セキュリティへの意識が高ければ、企画の段階、実装の段階、運用の段階で、何かしらの対策を進められた可能性があります。

同様に事件や事故に対し、的確に対応できるような仕組みが必要です。具体的には、セキュリティ事故対応チーム(CSIRT:コンピュータセキュリティインシデントレスポンスチーム)を組織し、社内で発生するセキュリティ事故を可能な限り早期に把握、対応を行うものです。小さな事故や異変のうちに対応することができれば、被害も小さくできます。早期発見早期対応はどの分野の事でも合理的で一番費用対効果の高い策です。重要なことは、何度も繰り返しますが「事故発生が前提」として考えておくということです。

当然の事ながら、守るものは明確にしましょう。重要な情報はデータベースに格納されています。そこで何が行われているか把握できていますか?最低限、データベースでの記録をどうするかということは、そろそろ逃げられない時代になってきています。

グローバルに大量な個人情報を抱える企業は、契約のあり様、各国ローカルな法律に関して把握して、対応できるようになっていなければならないことも、今回の事件から学べることだと思います。

また、攻撃者の標的にならないように心がけましょう。D-Typeの犯罪者の場合、流しの犯行か狙いを付けた犯行かになります。前者は、検索サイトで、ある種キーワードで検索されるコマースサイトに対して絨毯爆撃のような攻撃で、被害にあわないためには、例えば、検索サイトの登録内容に脆弱性が無いようにしておくことです。後者はサイバー産業スパイのようなものなので、それなりの組織には必ず来てしまうことになりますので、技術情報を持っている企業やサプライチェーン上においてそういう情報を利用する企業、また、投資情報を取り扱うような企業や部門は注意を怠らないようにしましょう。

 ※編集部註 ハッカー5類型一覧
 A-type:パイオニア
 B-Type:開発者
 C-type:ネット市民運動
 D-type:犯罪者
 E-type:セキュリティ関係者
 詳しくは連載(1)参照

C-type(ネット市民運動)の攻撃者の標的にならないようにするためには、事件の発生やセキュリティが破られることを前提で考え、普段から自分たちの意思を社内外含め対話を行っておくことがまずは重要です。企業は事業継続できなければ元も子もありません、自然災害だけが事業継続上の大きなインパクトになるものではありません。大量情報流出や武闘派C-type(ネット市民運動)との戦いは明らかに事業継続上のインパクトになりますし、一社のことだけでは済まない問題に発生する危険性も考えられます。その為にはやられたことを証明できる証拠を確保するようにしておきましょう。戦いに臨み、相手にやられたことを証明できないというのは情けない話です。

今回のコラムでは、世界最大の個人情報流出事故が発生したことを受けて執筆をしたものです。事件の真実や詳細はこれから順次公表されることと思いますが、私たちがやるべきことは、これまでとは何も変わりません。逆に、やるべきことをやっていない、もしくは最新の状況に対応ができていない、そんな状況が発生しないよう、身の回りのチェックを欠かさないようにお願いします。

(株式会社ラック 最高技術責任者 西本逸郎)

※本稿は2011年5月17日に公表されたレポートに執筆者が一部加筆を行った

【関連リンク】
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (1) 事件の背景にある様々なハッカーの存在
http://scan.netsecurity.ne.jp/archives/51981695.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化
http://scan.netsecurity.ne.jp/archives/51981701.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (3) 「閉鎖環境だから安全」に疑問符がつく、攻撃手法の考察
http://scan.netsecurity.ne.jp/archives/51981958.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (4) 情報開示や対策が的確だったのかを考察
http://scan.netsecurity.ne.jp/archives/51981961.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう
http://scan.netsecurity.ne.jp/archives/51981965.html

株式会社ラック
http://www.lac.co.jp/
情報流出緊急対策セミナー流出背景と企業が今すぐ実施すべき対策(株式会社ラック)
http://www.lac.co.jp/event/20110602.html
西本逸郎氏 Twitter 公式アカウント
https://twitter.com/dry2
対談:サイバーセキュリティ探偵とサイバーミステリー作家 第1回「企業の生命は事業継続」
http://scan.netsecurity.ne.jp/archives/51947983.html
対談:サイバーセキュリティ探偵とサイバーミステリー作家 第2回「内部犯行の犯人特定」
http://scan.netsecurity.ne.jp/archives/51947984.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性
OpenSSLにサービス運用妨害(DoS)の脆弱性 画像

OpenSSLにサービス運用妨害(DoS)の脆弱性
マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件 画像

マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

インシデント・事故 記事一覧へ

インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に 画像

チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に
委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く 画像

委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×