【マンスリーレポート　2002/11】規範となるべき事後対応【インフォシーク】

　11月19日、インターネット情報検索サービス「infoseek」の運営を行うインフォシーク社のネットワーク上のL2 スイッチに、セキュリティホールの存在が明るみになった。今回は、連絡、調査、対応に至るまで、非常に迅速に事が運んだインフォシーク社の事後対応についてリポートしたい。

>> 拡充を続ける「不正侵入の矛先」

　ネットワークセキュリティは、一つの要所を締めれば大丈夫、というわけではなく、多面的に捉え、対処してゆく必要がある。

　一時期は、「社内LAN等のシステムへの侵入」を防ぐため、ファイアウォールが脚光を浴びた。ひとしきり普及したと思った矢先、今度はファイアウォールが意味をなさない「Webアプリケーションレベルのハッキング」が取り沙汰されるようになった。監査ツールも登場し、システム担当者は常に気を配る体制を取っていると思われる。

　これらに加えて、現在着目すべきなのは「ルータやスイッチへの侵入」である。サーバや社内ネットワークのデータが行き来するこれら中継点をのっとられた場合は、メールの内容、暗号化されていないIDやパスワード等の盗聴はもとより、ネットワークが寸断されるなどの被害を被ることになる。

>>【　経　緯　】〜報告からわずか3時間で対処完了

　11月19日、編集部ではインフォシーク社のネットワーク上のルータ（実際は、L2 Switch だった）らしきものに既知のセキュリティホールが存在することを発見し、その旨記載したメールを送信。この時点で午前11時だった。そしてインフォシーク社から、即時調査を行い、外部からのアクセスを拒否する設定が完了した旨のメールが届いたのは、およそ3時間後の午後2時。非常に迅速な対処である。この間、インフォシーク社ではどのようなやりとりが発生していたのだろうか―――。

インフォシーク社コメント：
『まず広報から技術部へ連絡し、技術部では即座に状況確認、影響調査、対応の実施に取り掛かりました。次に技術部から対応状況が広報へバックされ、その後に詳細内容が伝わってきました』

　非常にシンプルで、効率のよい伝達がなされていた。広報部が指摘点を投げ、技術部からは完了時に広報へ連絡が入るだけ、というわけではなく、その都度、対応の進捗が報告され、密なるコンセンサスが取れていたと思われる。

　例えば個人情報の流出など、実際に被害を被る第三者が発生する事故の場合などは、これら部門に加えCSや役員等が加わり、連絡系統が複雑化してくる。その際には現況を幅広く把握するポイントの確立と、それに準じた極力シンプルなフローが必要になるだろう。こういった体制の確立は、事故が起ってからなされたのでは遅い。やはりインフォシーク社においても、普段から連絡フローが確立されていたとのことだ。

　さらに、本件について部門長はどのように関わったのか尋ねてみた。

インフォシーク社コメント：
『技術部長が関わったのは状況確認、影響調査後の対応の意思決定の時点です。また、システム管理の部門長は初期調査から実際の対応まで行っています』

[ Prisoner DAMLAK ]

（詳しくはScan Incident Reportをご覧ください）
http://shop.vagabond.co.jp/m-sir01.shtml