[第17号]

Weekly CyberSecurity Column201603

弊社上級ネットワークエンジニアによる、セキュリティーに関するコラムをお届けします。
会社の公式文書という形ではない、作者個人の現場感あふれるコラムをお楽しみいただきつつ、日頃の営業活動へのヒントやお客様へのコミュニケーションなどにご利用頂ければ、幸いです。

著者 okun
ネットワーク ・ セキュリティー「一筋」?十年。社内外のネットワークインフラ構築を担当する。社内の新人向けから技術者向けまでネットワークやインターネットの講座を幅広く開催している。

[第17号]

インターネットに関連するさまざまなセキュリティーニュースとコラムを、定期的(ほぼ週刊)にお届けします。
今週は、CoCo壱番屋(以下ココイチ)のすごさをサイバーセキュリティーから考えてみる(後編)をお送りしたいと思います。
先週のセキュリティーイベントにも書きましたが、その後もアノニマスの可能性のある攻撃が後を絶ちません。なぜアノニマスのDDOS攻撃がなくならないのか、防ぐのが難しいのか、については、いつか取り上げたいと思います。

1)CoCo壱番屋(以下ココイチ)のすごさをサイバーセキュリティーから考えてみる(後編)
16号の前編を読んでいない方は、ぜひ前編を読んでからこちらを読んでいただくことをお願いします。今回の不正転売事件に対するココイチの一連のアクションを、サイバーセキュリティーの観点を中心に整理すると、以下のポイントが見えてきます。

①事前段階
実験的にクライアント側のみに組み込んだSSH接続再開機能のため、悪意あるサーバーに接続すると、秘密鍵をサーバ側に送信する脆弱性が存在した。

・情報(データ)流出を前提とした監視と教育

・情報(データ)が流出した場合の流出源のトレーサビリティ

・流出を想定した危機管理体制の構築と対応訓練の定期的な実施

 

②発生段階

・流出情報と流出経路の絞り込み

・緊急危機管理体制の速やかな召集

・発生した事象の情報共有

・流出経路の確定

・発生情報の公表と必要ならば告発

 

③事後段階

・再発防止策の作成と発表

・危機管理体制のアップデート

 

  ざっと列記すると、上記のようなポイントがあげられると思います。もちろんこれらの中には、「対応訓練がされている」などのように、私の推測で書いたものがいくつかあります。しかし、今回の対応スピードからすると、訓練がされてない組織ができるはずはありません。

これから、少し具体的にサイバーセキュリティーに絡めて書きます。

まず、最も重要なのが、事前段階であることは言うまでもありません。そしてその中でも私が最も重要だと考えるのが対応訓練です。サイバーセキュリティーインシデントの発生を想定した訓練をすることで、未対応のポイントや不足しているポイントがわかります。
次に重要なのは、想定するインシデントの内容です。いくら対応訓練をしても、簡単に推定できる物だけでは、役に立ちません。発想豊かに、バラエティに富んだインシデント内容を考えて、訓練を繰り返していれば、想定外のことが発生しても応用が利きます。

実際のインシデントの発生を考えた場合、そのインシデントが、社外からの通報や顧客からの連絡によって判明するということは、その段階で、監視の仕組みの不備ということになります。社内ばかりでなく、サプライヤー等の関連企業の従業員も含めた教育不足といえます。
ましてや、その従業員の不用意なメール添付ファイルの実行や、メール誤送信などの行為により流出するなどは、モラルの低下でしかありません。

発生段階以降は、どれも重要なことばかりですが、事前段階がきちんとできていることが前提になります。

今回、もしも、不正転売されたことに気付くことなく、食中毒が発生して、製造元であることがわかり、流出経路はわからないといった状況であったとすれば、企業の存続までに拡大する可能性すらあったと思います。
このようなことも合わせて考えると、今回のココイチの一連の対応は、顧客第一の観点からも、BCP(Business Continuity Plan 事業継続計画)の観点からも、素晴らしいの言葉しか出ません。

発表された再発防止策を読んでみれば、2度と不正転売事件を発生させないという意気込みが見て取れます。

参照URL:
http://www.ichibanya.co.jp/comp/topics/resale.html

 

  また、昨年末に、「サイバーセキュリティ経営ガイドライン Ver 1.0」が経産省から発表されましたので、これも合わせてご覧ください。

参照URL:
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf

2)その他
昨年末に、経産省は、サイバーセキュリティー対策の専門家を養成するために、新たな国家資格を作ることを発表しました。発表内容は、17年度に開始、3年の更新制度、有資格者情報の登録制度の3つがあります。現在のインターネットの拡大を考えると、内容はともかく、更新が3年では、まったく不十分です。

少なくともこの資格については、毎年のスキル更新セミナーの受講と試験やレポート提出といったところが必要でしょう。
ただ、更新が必要な情報処理関連の資格が生まれるのは、一歩前進というところでしょうか。

今号では、IoTのセキュリティーについても触れる予定でしたが、ココイチでいっぱいになってしまいましたので、次号でお送りします。

以上、17号でした。