文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント(下)
文系管理者や経営者が昨今のセキュリティ事件に不安を持っていろいろ質問をしても、エンジニアの返答は何を言っているかよくわからないことが多いだろう。そういう方のための三回連載です。
特集
特集
電子証明の期限切れ、保守のタイミングについて説明してきた。最終回は、実際にサーバーに置かれているコンテンツ自身から発見できる脆弱性を見つけるポイントを解説する。システムを動かすには、エンジニア以外の視点も大切なことを理解して頂きたい。
●コンテンツのバラツキ例(1)関連会社同士の運用ポリシーの不一致
グループ会社のホームページを比べると発見されることが多い。同じグループ会社A社とB社ではセキュリティーや個人情報に関する指針が異なっていることがある。一方の子会社(A社)では、親会社の指針をそのままコピーしてホームページに公開しているが、もう一方(B社)は、独自のルールを追加している。このようなケースは珍しくない。この場合、脆弱なサイトは、A社となりやすい。公開して2年経つと、A社の指針はそのままで、B社は独自ルールを見直す。ホームページにルールを更新していくからだ。過去のホームページの違いを確認するには、検索サイトやアーカイブサイト(ホームページを保存するサイト)を利用すれば簡単に発見できる。見直しを行わないA社は既にホームページに公開した内容は安全と思い込んでいる。このため、不正アクセスされても気づくことが遅く、狙われやすいのである。
関連会社には、海外に拠点を持つ現地法人のサイトにも同じことがいえる。国内にある企業と海外現地法人のサイトのドメインが異なる場合、プロバイダーが異なったり、運用ポリシーが異なることがある。システム管理者は、所属する組織が管理する情報システムを管理するので、組織を超えて課題を見つけ出すことは得意ではない。セキュリティー担当者または経営者が技術とは違った視点で脆弱性を見つけ、克服していかなければならない。
不正アクセスを試みる者は、海外現地法人(たとえば、ABCDEメキシコ)のサイトに対して成功すれば、国内のABCDE社を狙わずに、他の海外現地法人(ABCDE台北)のサイトを攻撃していく。攻撃者は日本の本社にはシステム管理者が多い事、セキュリティ対策が施されていること、不正アクセスに関する法律を適用するには膨大な手間がかかる事実を知っている。だからエンジニアの手薄な海外現地法人のサイトを狙うのである。
【執筆:佐藤隆】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢
-
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
-
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版