人材プラットフォームへの不正アクセス、再発防止策とセキュリティ再診断を実施し1ヶ月でスピード再開

株式会社みらいワークスは5月6日、4月9日に公表した同社運営の副業と地方貢献のプラットフォーム「Skill Shift」への第三者からの不正アクセスによる一部の個人会員、企業会員およびパートナー情報流出について、調査結果と再発防止策を第三報として発表した。

同社では4月6日に、運営する「Skill Shift」Webサイトへの第三者からの不正アクセスの形跡を確認、当該関連サーバをネットワークから遮断し、侵入経路と影響範囲について調査を行ったところ、当該サーバに保存された個人情報等の流出が判明していた。

同社によると、不正アクセス発覚から現在までの経緯は以下の通り。不正アクセス発覚による当該サイト停止から、社内調査、フォレンジック調査、2度のセキュリティ診断を経て、再発防止策を実施し1ヶ月で再開に至っている。

事故発生の報告まで1年以上かかる企業がざらにある日本のインシデント対応の常識の中で、同社はどのような手順で何を実施したのか。同社の報告書をかいつまんで紹介する。

4月5日：悪意ある第三者が「Skill Shift」に不正アクセス

4月6日：同社にて「Skill Shift」のデータの一部欠損を確認し、当該サイトを停止
　社内調査にて、ファイル等を格納する箇所に不正アクセスの痕跡を確認
　所轄警察署、個人情報保護委員会および関係各所に相談、報告

4月8日：外部の情報セキュリティ専門機関によるフォレンジック調査を依頼
　外部の情報セキュリティ専門機関によるセキュリティ診断を依頼

4月9日：「不正アクセスによる情報流出に関するお知らせとお詫び」公表

4月19日：外部の情報セキュリティ専門機関によるセキュリティ診断完了（12日間で完了）
　診断結果に基づく対応を開始

4月22日：外部の情報セキュリティ専門機関によるフォレンジック調査完了（15日間で完了）

4月23日：「「Skill Shift」不正アクセスによる情報流出に関するお知らせとお詫び（第二報）」公表

‍4月24日～5月5日：再発防止策の実施
　サービス再開に向け、「Skill Shift」の外部の情報セキュリティ専門機関によるセキュリティ再診断を実施

5月6日：「Skill Shift」不正アクセスによる情報流出に関する調査結果およびサービス再開のお知らせ（第三報）公表
　「Skill Shift」再開

外部の情報セキュリティ専門機関の調査によると、「Skill Shift」内において流出の疑いのある情報が格納されていた領域のセキュリティ設定と権限設定に不備があり、悪意ある第三者が不正アクセスできる状況であったことが原因。なお、対象領域以外からの情報流出がないことは確認済み。

流出した可能性があるのは合計2,456人分の個人情報で、その内訳は応募時の添付ファイル（履歴書、職務経歴書、その他添付書類のうち1つ以上）が1,053人分、写真画像が1,965人分。

同社では対象の個人会員に対し、個別に連絡を行っている。

同社では既に、以下の再発防止策を実施済み。

1.情報管理体制の強化
・情報管理規程の見直しによる情報種別に応じた情報格納体制の強化
・情報の秘密管理指針の明確化（付与アカウントの精査、アクセス権限設定の見直しなど）
・保有情報のバックアップ体制の強化（バックアップポリシー・復旧計画の策定）
・内部監査体制の強化

2.早期検知・対処の強化
・サービスの運用監視体制の整備
・定期的なシステムセキュリティ診断の実施
・セキュリティツールを活用した監視体制の強化