メンタル管理サービス等を提供する東証一部上場企業の株式会社アドバンテッジリスクマネジメントは3月10日、2月10日に公表した同社が東京海上日動メディカルサービス株式会社、ネオス株式会社と共同提供する「アドバンテッジEAP」での「お問い合わせフォーム」情報のログデータが外部から閲覧可能な状態であった事案について調査結果と再発防止策を発表した。
アドバンテッジリスクマネジメント社では2月10日に、2018年4月10日に実施した「アドバンテッジEAP」の「お問い合わせフォーム」リリース作業時に、動作確認等のために設定したログの出力先を、作業担当者の設定ミスで外部から閲覧できる場所に指定したことが原因で、ネオス社が管理するサーバ内に保管されている「お問い合わせフォーム」のログデータが、特定のURLを介して外部から参照できる状態であったことを公表していた。
アドバンテッジリスクマネジメント社では、問題発生に至る主だった要因として、開発者の認識不足等によるオペレーション上の過失、システム環境の公開ポリシーにかかるアクセス制御の問題、発覚まで長期間を要した監視体制等の問題で、これらの原因は次の4つの問題点にあると判断した。
1.ログの出力先を機能ごとに分けていたため、管理が煩雑になっていた
2.ログ設計、システム設定の変更管理が不十分で、サービスリリース時の変更管理チェック体制に問題があった
3.定期的な脆弱性チェックや内部監査実施の際、チェックする観点に不備があった
4.システム開発担当者に対する個人情報取り扱いの教育が不徹底であった
アドバンテッジリスクマネジメント社は、第三者機関のチェックを受け、今回発生した問題とそこから派生する事項に対して、妥当性のある対策が講じられているとチェックを受けた以下の対応を2021年4月中旬までに完了するよう実施することで再発防止に努める。
1.ログの出力先指定に関する措置
・ログを機能ごとにわけて出力していたが、ログデータの出力先を一元化し、管理の煩雑さが生じないよう変更
・ディレクトリ構築および構成のポリシー並びにアクセスポリシーを常に関係者間で連携できるようマニュアルを再整備し、変更された内容は一両日中にシステム関係者に展開・共有する
2.ログ設計・システム設定の見直し、変更
・ログの保存期間、出力する内容、出力先を変更するため、設計書、設定書、チェックリストに変更内容を反映
・システム改修等時やリリース時に、ログの出力先が適正に配置されていることを、作業者とは別のシステム部門担当者が確認
・ログの出力先設定の間違い、改ざんを検知する仕組みを構築
・システムの設定を変更することで、外部からアクセスを許可するファイルを限定し、かつ閲覧が可能となる公開ディレクトリへのログ出力を禁止する
3.定期的脆弱性チェック、内部監査実施ルールの見直し
ログモニタリングの対象、観点、監視体制及び設定内容のチェック観点や方式を見直し、年1回の監査を行う
4.社員に対する周知と教育の実施
・開発時におけるディレクトリ構築および構成のポリシー、アクセスポリシー、セキュリティポリシー、および今回の事故を踏まえた改正点や再発防止のポイントを含め、eラーニングを活用した定期的な研修を行い、社内関係者に周知徹底を図る
なお、ネオス社にて再度の調査を行ったところ、本件が原因と推測される被害の報告、情報は現時点で確認されていないとのこと。
アドバンテッジリスクマネジメント社では2月10日に、2018年4月10日に実施した「アドバンテッジEAP」の「お問い合わせフォーム」リリース作業時に、動作確認等のために設定したログの出力先を、作業担当者の設定ミスで外部から閲覧できる場所に指定したことが原因で、ネオス社が管理するサーバ内に保管されている「お問い合わせフォーム」のログデータが、特定のURLを介して外部から参照できる状態であったことを公表していた。
アドバンテッジリスクマネジメント社では、問題発生に至る主だった要因として、開発者の認識不足等によるオペレーション上の過失、システム環境の公開ポリシーにかかるアクセス制御の問題、発覚まで長期間を要した監視体制等の問題で、これらの原因は次の4つの問題点にあると判断した。
1.ログの出力先を機能ごとに分けていたため、管理が煩雑になっていた
2.ログ設計、システム設定の変更管理が不十分で、サービスリリース時の変更管理チェック体制に問題があった
3.定期的な脆弱性チェックや内部監査実施の際、チェックする観点に不備があった
4.システム開発担当者に対する個人情報取り扱いの教育が不徹底であった
アドバンテッジリスクマネジメント社は、第三者機関のチェックを受け、今回発生した問題とそこから派生する事項に対して、妥当性のある対策が講じられているとチェックを受けた以下の対応を2021年4月中旬までに完了するよう実施することで再発防止に努める。
1.ログの出力先指定に関する措置
・ログを機能ごとにわけて出力していたが、ログデータの出力先を一元化し、管理の煩雑さが生じないよう変更
・ディレクトリ構築および構成のポリシー並びにアクセスポリシーを常に関係者間で連携できるようマニュアルを再整備し、変更された内容は一両日中にシステム関係者に展開・共有する
2.ログ設計・システム設定の見直し、変更
・ログの保存期間、出力する内容、出力先を変更するため、設計書、設定書、チェックリストに変更内容を反映
・システム改修等時やリリース時に、ログの出力先が適正に配置されていることを、作業者とは別のシステム部門担当者が確認
・ログの出力先設定の間違い、改ざんを検知する仕組みを構築
・システムの設定を変更することで、外部からアクセスを許可するファイルを限定し、かつ閲覧が可能となる公開ディレクトリへのログ出力を禁止する
3.定期的脆弱性チェック、内部監査実施ルールの見直し
ログモニタリングの対象、観点、監視体制及び設定内容のチェック観点や方式を見直し、年1回の監査を行う
4.社員に対する周知と教育の実施
・開発時におけるディレクトリ構築および構成のポリシー、アクセスポリシー、セキュリティポリシー、および今回の事故を踏まえた改正点や再発防止のポイントを含め、eラーニングを活用した定期的な研修を行い、社内関係者に周知徹底を図る
なお、ネオス社にて再度の調査を行ったところ、本件が原因と推測される被害の報告、情報は現時点で確認されていないとのこと。
