なんとなく綴ってみた

アクセスカウンタ

zoom RSS セキュリティの穴はJTBに限らない・・・

<<   作成日時 : 2016/06/17 12:01   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

JTBの情報公開や対応は遅かったと、批判されている。まあ、これは年金機構と同じ墓穴である。結局、どちらにしても叩かれるのだから、漏洩の可能性の段階で、情報を公開するか、JTBがなくなるその日まで、隠し通すか?どちらかしかないのだ。普通は、取引先との信頼もあるわけで、なるべく情報の一端が掴めたなら公開しないといけない。


JTBのネットワークについて、調べて見ると、OKIのサイトに以下のような導入事例があった。見た限りどこにでもある普通のネットワーク構成であると思われる。後は、業務系と外部通信系が同じネットワーク上にあるかないかぐらいの差だろう。たぶん、全部ではなくとも一部が同じネットワークにあったか、またはシンクラで、業務系から覗くことが出来たと考えられる。後者の場合は、完全に管理者が見逃したことになるが・・・。前者は大手企業ではよくあることだ。

http://www.oki.com/jp/case/2015/jtb.html


<完全分離できない業務ネットワーク>

一般に業務専用のクローズドネットワークと、インターネット向け回線を別に分けるのは難しい。理由は単純で、業務に必要なスペースが2倍になり、投資コストが跳ね上がるからだ。簡単に言えば、パソコンが2台必要になるわけだ。それを使い分けるのは結構大変な話である。

1台でやるとしたら、一方をシンクライアントなど、サーバー上などで仮想的に実行させるしかない。この方法でも、セキュリティレベルは管理次第で下がるため、万能ではない。

しかも、ネットワークを分けると、情報の受け渡しが大変になり、業務によっては効率が落ちる懸念がある。だから、会社側にも社員にも分離は嫌われるのだ。例えそれがセキュリティのためでも・・・。年金機構の問題がそれを示したが、年金機構の場合は、構築の段階で分離していたのに、データはオープンネットワーク上に置かれていたから問題だった。

企業の場合は、今度は予算との戦いと、後は運用効率との戦いになる。最近は、インターネット上のオープンクラウドにビジネスアプリを置いて、そこで管理して貰う「がばがば」なセキュリティの中小企業もあるが、実際の現実論を言えば、今では営業担当者が出先で、契約情報を入力し、それがすぐに反映されるというシステムも組める時代であり、ユーザービリティを取るか?それとも、即応性というサービスを取るかというビジネスのジレンマが発生する。

即応性を取る場合は、全て金が掛かるがVPNとプロキシサーバー、RADIUS認証でクライアントの接続を監視するか、それとも単純にインターネット接続でユーザー認証だけで透過するか・・・で、コストが数桁変わることもザラにある。(台数でライセンスコストが変わるため)


そうなると、リプレースの時期によっては、古いままに留まっていたり、リプレースの際にここは、気合いと教育で乗り切ろうというケースも出てくる訳だ。


即ち、我が社は、JTBのようにはならないと思っているあなたの会社だって、予算の都合でここは、妥協して一つランクを落としたセキュリティにしましょうと言うことは、多分にある。ただ、それを知るのは、予算を握る人と、そのセキュリティなどを構築したり、管理する担当者、後は役員ぐらいである。
だから、JTBの仕組みがどうこう言っても仕方がないのだ。今、そういう妥協をしたことを思いだしてどきっとしている人は、沢山いるかもしれない。


<どこでもあり得ること>

私が知る限りでは、某業種で国内最大手の企業でも、業務系と外部系の通信は同一のネットワーク上にあるというのは、知っている。その他にも、そういう会社などごろごろしている。業務系なのにTracertでYahoo!JAPANまで通信が通る会社など腐るほどある。

それが日本の現実である。これは、結局の所近年は性能も十分になり、日本語圏は、海外に比べて特に攻撃による被害を受けてこなかったことが、災いしている。海外で被害があっても、日本は別でシステムの新しいし、大丈夫だと思っていたわけだ。

しかし、現実にはこのぐらいでも大丈夫と今まで思っていたラインが、海外のそれから見れば、とても低かったというだけである。しかも、今では海外企業も大手が軒並み情報漏洩に苦心する状況にある。
その状況で、突然世界と同じレベルで攻撃を受け始めたら、瓦解するところが出てくるのは、当然である。


<管理者の決断と不在時の管理>

今回、JTBの問題ではシステム管理者、セキュリティ部署がうまく機能していないように見える。
外から、指摘があったにも関わらず、危急な状況と考えていなかったかのようだ。もししっかり対応できる部署だが、今回に限って見逃したとしたら、考えられるのは2つだ。1つは、同じようなことが過去にあって、誤報に終わったケース。もう一つは、別に問題を抱えているが、最も出来る人が、休暇などでおらず対応が後手になったパターンである。

セキュリティ部署の難しい点は、スキルが低いと見逃すことがあるということだ。要は、ログが読めない人が、いくらログを見たところで、どこが悪いかなど分からないということだ。またログだけ読めても、原因箇所を突き止められるスキルがなければ、どうにもならないことだ。

要は、ある程度経験による慣れも必要だが、たまたま机上しか知らない人が、その日の仕事だった場合、対応が後手に回り遅れる可能性がある訳だ。例えば、問題が見つかったときの対応を、まずはこうしなさいとマニュアル化して、さらに管理者が不在の時には、権限を他の部署の上長にでも委ねるか、一つ下の部下にでも委ねることを確認しておけば、こういう問題は起き難い。

しかし、それをやらなければ、上長と連絡が取れない場合は、ネットワークから当該の製品を取り除くことも出来ないだろう。


JTBぐらいの企業だと、セキュリティ部署はあったはずでしかも、ある程度人がいたはずだ。だから、こういう事が起きるとは考えにくいのだ。しかし、現実に起きたのは・・・実はとても簡単な話である。

これは以下の記事を読めば納得できる。問題発覚から対策まで2日以上掛かっている。この日数が何を示すかというと、”休日”である。3月19日〜21日は日本では3連休だったわけだ。
http://www.itmedia.co.jp/news/articles/1606/15/news073_2.html


<攻撃者は休日や休暇を狙う>

これで分かると思うが、攻撃者は休日ならセキュリティ部署もお休みだったり、手薄だったりすることを、ある程度知っている訳だろう。内部犯ということではなく、世界でも似たり寄ったりでお休みの日には、会社に人は少ない。だから、長期休暇や土日祝日などを狙って攻撃が行われるわけだ。年末や夏休みには、こういう話題のIT記事が書かれるが、土日なども仕掛けたバックドアを使って情報を盗まれやすいのである。

そして、近年の日本では管理職でも休日出勤を突然行うのは難しい。特に、セキュリティ部署などインシデントがなければ、稼ぎはしないが、コストが掛かり、事務所や本社販管費で動く嫌われ者である。たいていの場合は、部署員を全て招集するのは難しいのだ。
それに対するルールを組織が作っていないなら・・・週末の対応は週明けというのが暗黙のルールだっただろう。

うちは、そんなに遅れない・・・という人でも、じゃあ攻撃プログラムの動作が週末なら社員はほとんどいないということはないだろうか?そこに人が少ないことによるスキル差が生じることもある。ここまで考えると、背筋が凍る企業の担当者もいるかもしれない。


攻撃する側も、それをビジネスにしているはずだから、失敗などしたくはないだろう。だから、いつ情報を取り出せば良いか?いつなら成功しそうかを、ある程度を調べてマルウェアを動かす。そして、日本企業の場合は、セキュリティ部署に対して特別な権限はほぼなく、土日祝日はお休みだったり、対応規模が縮小されることが多いことを、既に攻撃者は理解していると思われる。日本は、週明けに対応することになる・・・そこを、彼らは狙うのだ。


果たしてあなたの勤める会社の、法定休日にセキュリティ担当者(情報管理者)は、平日と同レベルで、常駐しているだろうか?






テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
セキュリティの穴はJTBに限らない・・・ なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる