サイバー「護身術」を磨け、ヤフーID流出 リスク管理の要諦
ラック 専務理事 西本 逸郎

(3/4ページ)
2013/5/20 7:00
保存
共有
印刷
その他

ヤフーが発表した内容では「IDを管理しているサーバーに外部からの不正アクセスがあったことが判明」とあるので、外部から何らかの方法で侵入を許したと考えられる。また、「4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知」あるいは「実施した対策の中で、関連するアカウントの認証の再設定を社内で徹底させることができていなかったことに起因している」ともある。このことから恐らく、犯人はヤフー内で使っている何らかの管理者アカウントでログインし、今回の不正行為を実行したのではないかと推測される。

不正アクセスを受けた可能性があるIDの場合はパスワードの変更が勧められる

不正アクセスを受けた可能性があるIDの場合はパスワードの変更が勧められる

管理者が想定外の行動を取った場合、皆さんの会社ではそれに気づくことができるだろうかを、想像してみてほしい。うまく気付いたとして、そこから何が起きたのかなど調査するとして、どの程度を把握できるだろうか。

犯人は外部なのか内部なのかもわかっていない段階で、誰がそのことを調査するのだろう。ヤフーの場合、不審なログインを16日夜に発見したとしている。それからほぼ24時間で事実確認や被害範囲を調査して、17日夜には今回の発表をしている。一般向けのサービス提供者としては、非常に迅速である。

最近のサイバーセキュリティーで重要なことは、このような「事故前提社会の対応力強化」である。これは、内閣官房情報セキュリティセンターが09年2月に発表した第二次情報セキュリティ基本計画での重要メッセージだ。今回の事件も原因は不明だが、不審なログインを見つけるとすぐに調査に入って対応を実施している。

「そうならない」ための予防策はもちろん重要だが100%の策は存在しない。最悪なのは、完全に予防していると勘違いしたせいで不正アクセスに気づかずに対応が後手に回ることだ。被害を拡大させるだけではなく、組織としての対応を誤り、例えば利用者などからの信頼をなくして会社の事業に多大な損害を与えてしまう恐れがある。

■セキュリティーの観点からは「閲覧」の管理こそが重要

情報セキュリティー対策の重要事項に「職責の分離」と「最少権限の付与」がある。これは例えば、経理担当と購買担当で人を分けたうえで、お互いの役割で必要なことだけをそれぞれができるように権限を設定する、ということである。逆に言うと、必要のない人に必要のない権限は与えないようにするのが基本だ。だが、最少権限の付与は、いうは易くだが実際に実行するのはなかなか難しい。特に様々な管理者に付与する権限で重要なものから制限をしていくことが一歩となるだろう。

  • 前へ
  • 1
  • 2
  • 3
  • 4
  • 次へ
保存
共有
印刷
その他

電子版トップ



[PR]