 |
第2回 情報が漏れた! まず何をすればいいのか?
| 根津 研介 園田 道夫 宮本 久仁男 2004/12/23 |
|
前回までのあらすじ
インフラは何とかなりつつあるものの、顧客から「架空請求」に関するクレームがきた。調べてみると、どうも中村君の勤務先が管理している顧客情報が漏れた疑いが。ホントに中村君のところから情報が漏れたのか? そしてどこからどう情報が漏れたのか? 手を付けられるところから調べつつ、対策を検討することに……。
 |
データの流れを把握する! |
ぼう然とする中村君と、トラブル対応でがぜん張り切る(?)小野さん。対照的な2人ではあるが、この危機を何とかして乗り切るという目的に相違はない。中村君もぼう然としている場合ではない。気を取り直して目の前のことに集中することにした。
| 中村君 | 「取りあえず、私たちが集められる情報は集めきった感はありますが、この後どうしましょうか?」 |
| 小野さん | 「ここまで集めることができたのは、ファイアウォール、プロキシ、ファイルサーバのログ、tcpdumpのログ、あとはバージョン違いの顧客情報入りファイルかぁ。うーん、これだけじゃ決め手に欠けるなぁ……」 |
| 中村君 | 「あ! でも、そのファイルを読む可能性がある人って限られていませんか?」 |
| 小野さん | 「そうか! ウチの業務形態だと、可能性があるのは基本的に『顧客と直接やりとりする営業担当』と『請求書を送っている経理担当』しかいないことになるね。少なくとも、メンテナンスをやってる保守部門の人間がファイルを読む可能性はそれほど高くないし、読む部分も報告書に載せる必要のあるものに限定されるだろう。購買関係の担当もまずないな」 |
小野さんと中村君の間にしばし沈黙が流れる。2人の頭の中はブンブン回りながらさまざまな可能性に思いを巡らせている。
| 中村君 | 「では、『誰がそれを読むか』という点に着目するとよさそうですね!」 |
| 小野さん | 「そうだね。誰がそのデータを作り、誰がメンテナンスをして、誰が読み、誰が消しているのか。関係者を漏らさずリストアップしよう。それから、『データがどう読まれているか』というのも押さえたいな。紙ベースなのかディスプレイ上なのか、そのあたりもね」 |
| 中村君 | 「社外の人が読む可能性もあるんですよね?」 |
| 小野さん | 「それは契約関係がどうなっているかによるね。うん、契約書を見れば何か分かるかもしれないな。そういったことは平山さんにお願いしよう」 |
やることが見えると急に力がわいてくるものだ。小野さんはさっそく平山さんにメールを書きだした。うかつに内線電話で連絡すると関係ない人に聞こえてしまう可能性があるからだ。近い所にいてもメールの方が安全だった。念には念を入れてメールの件名(タイトル)も「先日の打ち合わせの件」とまったく内容が推測できないものにしておいた。そんな小野さんの用意周到さに中村君は少し驚きながらも心の中でつぶやいた。
| 中村君 | 「こんなふうに社内システムのドキュメントも残しておいてくれていればなあ……」 |
さて、ここまでの議論から2人は、
- 社内におけるデータの流れ
- そのデータを読む可能性がある人
について整理してみることにした。もちろん「開発」の関係で社外に出ている情報もあるが、その部分を整理しようとすると「システム開発の契約」がどうなっているのかも絡んでくる。この部分については平山さんに「システム開発の発注先」と「当社」との間でどのような関係になっているのかを含めて整理してもらうことにする。具体的に整理するのは、
- 業務の一環として顧客情報にアクセスする必要のある人
- 今回問題となった「顧客情報」関連のファイルが置かれていた場所へアクセスする権限のある人
- 顧客管理システムの開発を委託している先(A社)
になる。
まず、最初に「開発委託先」に渡したものからチェックしてみることにした。ここで委託先に渡したとされる顧客情報が、もし「ダミーデータ」であれば、まず調査対象から除外できるからだ。ホンモノを模したデータ=ダミーデータを渡して、それを用いてテストを行うというのは、システム開発ではよく採られる方法だと勉強会で聞いたことがある。もしそういうやり方ならば、関係者を社内に限定してしまえるので都合が良い。
メールを読んだ平山さんが会議室に現れた。机に書類の束を置く。
| 中村君 | 「開発を委託したときに、委託先に渡したものってチェックできますか?」 |
| 平山さん | 「もうやったわ。CD-Rに全部入れて渡したみたいで、うちにも『これを渡した』って契約書類と一緒にCD-Rが残っていたわ。それで、中を確認したんだけど……、どうも実際の顧客情報そのものを渡したみたい。少なくとも、架空請求が届いたお客さまの情報はそっくりそのまま中に入ってたわ」 |
平山さんはちょっと皮肉っぽく続ける。
| 平山さん | 「感心なことに貸し出し品リストは詳細なものが残っていたのよね」 |
| 中村君 | 「意外にしっかりしてますね」 |
| 平山さん | 「全然しっかりなんてしてないわよ!」 |
と、平山さんは書類の束の中から関連図を取り出して机の上に放り出した。ほら、と促されて小野さんと中村君がのぞき込むと、すぐに2人も平山さんのいっていることが分かった。社外の関係者はたくさんいるはずなのに、誰がかかわっているのかぜんぜん分かっていないらしい。2人はがくぜんとした。
|
1/5
|
 |
| Index | |
| 情報が漏れた! まず何をすればいいのか? | |
 |
Page1 データの流れを把握する! |
| Page2 誰が顧客データに触れたのか? 〜ザルな契約とその概要 |
|
| Page3 調査の障害は意外なところから〜社内にも敵? |
|
| Page4 調査するところと調査の方針、そして方法 |
|
| Page5 そして最悪の事態に〜マスコミへの事件リーク |
|
| 基礎解説記事 | |
| にわか管理者奮闘記 | |
| 5分で絶対に分かるシリーズ | |
| 管理者のためのセキュリティ推進室 | |
| 情報セキュリティ運用の基礎知識 | |
| Security&Trustウォッチ |
 |
連載:にわか管理者奮闘記 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
