ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

NTTコムの侵入事例を当事者として振り返る

――経営者が決断すべきは、事業継続のためのシステム停止

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第3回】 2015年3月27日
著者・コラム紹介バックナンバー
1
nextpage

 2013年7月23日にNTTコミュニケーションズのWebサイトが不正アクセスを受け、大切な顧客情報を漏えいさせるインシデントを発生させてしまった。

 我々のセキュリティ対策の間隙を突かれて、不正プログラムが設置され、約400万件のメールアドレスとハッシュ化されたパスワードが、外部に送信された。

 侵入されたWebサーバは、新しいセキュリティ対策(WAF=Webアプリケーションファイアウォール)の導入を目前に控えていたこともあり、悔やんでも悔やみきれない。まさに痛恨の極みという言葉の意味を、身にしみて理解した瞬間である。

 ご迷惑をおかけしたお客さまには、改めてお詫びを申し上げるとともに、当社が過去を反省し再発防止に向けて取り組んだ内容をご報告したい。読者の皆さまの参考になれば何よりの幸せである。

※「ハッシュ化されたパスワード」とは、パスワードそのものではなく、パスワードを特殊な計算手順で生成した値のこと。同じパスワードからは常に同じ値が得られ、逆にその値から元のデータを割り出することが極めて難しいため、パスワードの保管や照合によく用いられる。

システムの一元管理と
情報伝達(共有)の重要性

 攻撃を受けた当時は、システム管理台帳と脆弱性対策を目的としたシステム管理DBが別々に存在した。残念ながら双方の管理情報は一致しておらず、全社でセキュリティ対策の対象を掌握しているとは言い難い状況であった。

 また、システムの「単位」も統一された考え方が無かった。SaaS(クラウドアプリケーション)利用のアプリをシステムと称している場合や、サーバー100台構成を1システムと呼ぶ場合もあった。更に社内ではオンプレミス(自社サーバ)環境からプライベートクラウド環境への移行期だったので、システム主管組織がハードからソフトを一括して保守運用する体制と、クラウド環境を共用し保守運用を複数部門で分業する体制が混在していた。

 まさに責任者不在状態に陥りかねない状態にあった。

 振り返ると、不正アクセスを許しかねない「不幸」が重なっていたにも関わらず、警鐘を鳴らすことすらできなかった。ゆでガエルな思考停止状態だったと反省している。

 例えば、当時から、新しい脆弱性が発生する都度、該当するシステム管理者に対策を促すメールを自動通知するシステムがあった。しかしシステムを構成するアプリやミドルウェアのバージョン情報の登録不備が看過されていたため、せっかくの脆弱性管理システムが有効に機能しない状態だったのである。適切な情報配信を行わない脆弱性管理システムは、狼少年と同じく悲劇をもたらす存在になりかねない。我々はこれらの問題に対して正面から取り組んだ。

1
nextpage
スペシャル・インフォメーションPR
IT&ビジネス
関連記事
クチコミ・コメント
facebookもチェック

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。


情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧