【マンスリーレポート　2002/04】インシデント事後対応ベストは NTTコミュニケーションズ（OCN）　ワーストは、みずほ銀行(2002.5.20)

　2002年4月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2002年4月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは、NTTコミュニケーションズ株式会社　≪サービス名：オープン・コンピュータ・ネットワーク（OCN ）≫

　国内の企業サーバ（co.jp ドメイン）を対象とし、そのサーバのOS とweb サーバのバージョンなどを調査した「SCAN Security Alert」がSCAN 編集部から3月に発表され、さまざまな実状が判明した。

　その調査で判明したことのひとつが、脆弱性のあるサーバの存在だ。利用者に深刻な影響を与える可能性を持つ脆弱性であるのだが、現在においても、一部その問題サーバを抱えながら事業を営んでいる企業も存在している。

　OCN は、この調査の詳細が発表される前の 3月18日に顧客の1社から、このクロスサイトスクリプティング脆弱性の指摘を受けた。

　クロスサイトスクリプティング脆弱性は、さまざまな原因で起こりうるが、この時はサーバのバージョンが原因となっていた。問題のあったサーバは、レンタルサーバサービスに利用されているサーバだったため、同じサーバに収容されている顧客の web に同時にクロスサイトスクリプティング脆弱性が存在していたことになる。
　また、この問題は、1台のサーバではなくレンタルサーバサービスを行っているサーバ群で確認された。編集部の推定では、およそ約7,800ドメインの顧客web に、この脆弱性が存在する可能性があった。
　OCN では、その問題の与える影響度により、社内的にどのような規模で対処するかを決めていく体制をとっている。今回の問題点はことさら重要であると受け止め、サービス開発、運用、カスタマーサポート、セキュリティ、技術などキイとなる部門から担当者が集められ、横断的なチームが結成された。
本件に限らず、常に柔軟な社内体制を敷いているという。

　対策チームはこれを受け、暫定対処、本格対処、そして公表のスケジューリングを行った。そして3月26日に、全サーバに対する暫定対処を完了。これは、指摘された脆弱性の主要部分を先行して取り除く暫定対処である。
　編集部サイドから今回の件についてOCN へ連絡を入れたのは3月29日。その後連絡を取り合い、「26日の段階で暫定対処を完了した」との報告を受けたことに対し編集部で確認作業を行った。編集部は、問題が改善されていたことを確認した旨の連絡を4月3日に入れている。

　引き続き4月8日には、該当するすべてのサーバのバージョンアップを完了させた。くしくもOCN は、SCAN 編集部の co.jp サーバ調査で、ドメインのシェアが全体の10％を占め、トップとなっている。そのOCN が、この問題に対し率先して対応を行ったことになった。

　今回のクロスサイトスクリプティング脆弱性について、同社では昨日まで発表していない。これは発表が遅れているわけではなく、プロジェクトチーム発足当初より、発表することを前提に、適切な時期を選んでいたためである。SCAN 編集部と連絡をとりあい、編集部が発表する時期とタイミングをあわせる形での発表となった。本日、同社からもこの問題に関する発表がなされているはずである。
　公表は当然ながら「公表すればよい」というものもではなく、「いかに多くの該当ユーザへ情報を届けられるか」ということが根幹に置かれるべきである。今回の措置は、そのような根幹を捉えた結果であるといえよう。

◇OCN TECHWEB
http://www.ocn.ad.jp/

　元々OCN では、アップグレードの必要性が取り沙汰されており、今年5月に行う算段でいたとのことだが、今回の問題の影響度を把握し、前倒しにしたという。自社サイトの修正であればそれこそ一日二日で対処できるが、莫大な顧客に対するバージョンアップ作業である。スケジューリングには、顧客のコンテンツを預かるホスティングサービスの性質上、その動作に影響を及ぼさない等の確認作業をも考慮したとのことだ。
　問題の重要性と、顧客との足並み双方を考えて、さらには本誌のようなメディア媒体との連携をとりつつはじき出した今回のスケジューリングは、非常に適切だったといえる。

◇「SCAN Security Alert」を発表！〜Scan Security Wireが国内企業サーバのセキュリティ実態を調査〜(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4298.html
◇SCAN Security Alert #2　サーバ事業者トップは OCN 、2位シェアサイト、3位GMO(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4300.html
◇co.jp サーバ17万件調査続報　使用バージョンに見るサーバ事業者の違い(2002.3.16)
https://www.netsecurity.ne.jp/article/1/4381.html
◇co.jpサーバ調査資料「SCAN Security Alert」の集計結果をイントラネット向けサービスにて公開(2002.3.20)
https://www.netsecurity.ne.jp/article/10/4420.html

>> ＯＣＮの★取り表

対応の速さ　　　　★★★★
報告者との連絡　　★★★★
社内体制　　　　　★★★★★
ユーザ告知方法　　（当記事掲載にあわせ、告知予定とのこと）
ユーザ告知内容　　（当記事掲載にあわせ、告知予定とのこと）
その後のフォロー　★★★★★

[ Prisoner Maga ]

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml