【マンスリーレポート　2003/05】インシデント事後対応　ベストはNTTコミュニケーションズ（OCN）　ワーストはジャパンネット銀行

　2003年5月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2003年5月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは、NTTコミュニケーションズ（OCN）

　5月のベストは、NTTコミュニケーションズ。
　レンタルサーバ業界大手の「OCN」に、情報漏洩などの危険性があったことが判明。「レンタルサーバクラッキング」を引き起こす可能性のある脆弱性と、旧バージョンのアプリケーション使用による脆弱性である。
　前者はレンタルサーバの利用者がCGIを使うことにより、他ユーザのデータ盗聴、改竄、データセンター内部への侵入などが可能となる。後者は直接インターネット越しに攻撃可能なものではないが、今回のようにCGIを踏み台にすれば攻撃することができる。

　編集部が第一報を入れてから、対応完了までに要した時間は約1週間。多くのユーザを抱える業界大手としてみれば、充分速い対応といえるだろう。この期間において何がどうなされたか、OCN担当者に伺った。

『御社からご一報いただいてから、意思決定・対応に関して、開発、運用、お客様サポート等の各部門からなるプロジェクトチームにより実施させていただきました。

　対処の決定にあたっては、即応を基本として、お客様への影響を慎重に確認した上で実施するという前提で進めてまいりました。

　ご指摘の通り、今回の件では検討すべき事項が多岐に渡っておりましたので、各部門の協力の元、事実確認、リスクアセスメント、対策の検討、検証、実施といった作業を分担して進めてまいりました』

　そもそもの要因について、以下のコメントも併せていただいた。

『本件の場合、お客様にとってより重要で比較的攻撃のリスクが高いウェブサーバやメールサーバなどの対処を優先する必要があったため、結果的に今回ご指摘いただいた脆弱性の対策に至っていなかったととらえております』

　たしかに、「100％危険」という問題ではない限り、脆弱性は企業内で発見された段階で、相応のリスクアセスメントがなされ、「今すべきこと」の優先順位に組み込まれていく。ただ本件に関しては当編集部（外部）からの注意喚起であり、それは「外部から脆弱部分をうかがい知ることができる」ものを意味している。こうした指摘により優先順位を柔軟に繰り上げ、迅速な対応が取れるということは評価に値することであろう。

　告知に関しても、ユーザがサーバをどのように使用しているかを鑑みて、複数の対処、設定方法をホームページ上で紹介している。こうした掲示の幅の広さは、見習うべきものであろう。

　◇OCNレンタルサーバサービスに情報漏洩など複数のセキュリティ問題
　(2003.5.26)
https://www.netsecurity.ne.jp/article/1/9999.html

　◇お客さまコンテンツの安全性強化について（OCN）
http://www.ocn.ad.jp/techinfo/secinfo/20030526/

>> NTTコミュニケーションズ（OCN）の★取り表

対応の速さ　　　　★★★★★
報告者との連絡　　★★★★★
社内体制　　　　　★★★★★
ユーザ告知方法　　★★★★
ユーザ告知内容　　★★★★★
その後のフォロー　★★★★★

★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★　　　　　最悪　なしあるいはないも同然
★★　　　　申し訳程度。
★★★　　　許容範囲。
★★★★　　適切な対応。
★★★★★　考えられることは全て対応。迅速。

[ Prisoner DAMLAK ]

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml

──────────────────────────────〔Info〕──
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────