平均損害賠償額5億円超!委託先任せで大丈夫!? 被害事例から学ぶ、Webセキュリティ管理の3つのポイント。
今回は株式会社アールワークスより、寄稿いただきましたセキュリティに関する記事をご紹介します。
通販サイトや予約サイト等から、個人情報やクレジットカード情報が漏洩したというニュースが後を絶ちません。
サイトの保守・管理を委託している企業が不正アクセスを受け、情報流出を招いてしまった例も多く見受けられます。
JINSA(日本ネットワークセキュリティ協会)の「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」によると、2017年の個人情報漏洩の総人数は519万人を超え、1件あたりの平均損害賠償額は 5億4,850万円にも達します。
「Webサイト管理の委託先がセキュリティ対策をしてくれているから大丈夫!」、「うちは狙われないはず」という油断が、被害に結びつく前に。
実際にあったサイバー攻撃事例を参考に、被害原因と回避策を考えていきます。
また、安全なWebサービス運営のための、外部委託先選定のポイントもご紹介します。
目 次
被害事例:通販サイトの保守・管理委託先企業に不正アクセスがあり、7,000件弱のクレジットカード情報が流出
被害を出さないためのWebセキュリティ管理の3つのポイント
外部委託先の選定ポイント
まとめ
被害事例:通販サイトの保守・管理委託先企業に不正アクセスがあり、7,000件弱のクレジットカード情報が流出
【経緯】
主婦向け通販サイトを運営しているA社は、ある日、クレジットカード決済代行会社より、クレジットカード情報流出の疑いがある旨連絡を受ける。
被害拡大防止のため、即日通販サイトを停止。所轄警察署へ報告するとともに、不正アクセスの全容解明及び被害状況把握に向け、外部の専門調査会社に依頼し調査を実施。
調査の結果、通販サイトの構築・保守を委託していたB社の提供するシステムが、外部からの不正アクセスを受け、7,000件弱のクレジットカード情報が流出したことが判明する。
【不正アクセス及び情報流出の原因】
(1)A社通販サイトのWebサーバーにB社がインストールした OpenSSL(情報を暗号するソフトウェア)が最新版ではなかった。また、旧バージョンでも脆弱性問題はないと誤認したまま放置したため、旧バージョンの脆弱性を利用して外部から不正侵入された。
(2)B社は、脆弱性診断(*1)やペネトレーションテスト(*2)を実施したことがなく、また、セキュリティ情報を随時更新する体制やルールも存在していなかった。
(3)A社も、B社の運営体制を点検・監督しておらず、継続的にセキュリティ情報を確認し安全性を高める体制が不十分だった。
*1「脆弱性」とは、システムを構成するネットワーク、OS、ミドルウェア、アプリケーションソフトウェアといった各要素の、設計上のミスやプログラムの不具合が原因となって発生する情報セキュリティ上の欠陥をいいます。
「脆弱性診断」とは、主に脆弱性診断ツールを使って、脆弱性をスキャン・検出する手法です。
*2「ペネトレーションテスト」とは、脆弱性が悪用された場合に、どのような悪影響がでるかを、攻撃者の目線で検証することに重点を置いて実施するテストです。
被害を出さないためのWebセキュリティ管理の3つのポイント
上記は2017年末に発生した典型的な事例ですが、ここから何を学べるでしょうか。
ポイント1
常日頃からセキュリティ情報を収集し、システム構成要素を常に最新の状態にアップデートする。
通販サイトに限らず、Webシステムは「ネットワーク」「OS」「ミドルウェア」「アプリケーションソフトウェア」と様々な要素で構成されています。
システムへの不正侵入を試みるハッカーは、これらの要素に潜む脆弱性を利用するため、常に各要素を最新状態に保つ必要があります。
ポイント2
定期的な脆弱性診断、ペネトレーションテストを実施し、サイトの安全が保たれているかチェックする。
OSやミドルウェアといった各要素を最新バージョンにアップデートするだけでは、実はWebシステムのセキュリティは担保できません。
例えば、「Webサーバーの設定ミスで、特定ディレクトリ配下に任意のファイルを置ける状態になっていた」などが原因で、外部からの不正侵入を許してしまいます。
このような設定ミスや、セキュリティへの配慮の足りないプログラム設計といった欠陥を検出・解消するために、第三者による定期的な「脆弱性診断」「ペネトレーションテスト」の実施が不可欠です。
ポイント3
上記2点を理解している信頼性の高い外部委託先を選定するとともに、委託先を定期監査する体制を持つ。
通販サイト、Webサイトの構築・保守管理を外部企業へ委託されている方も多いと思います。
サイト構築や保守のパートナーとして信頼している委託先が、セキュリティ管理についても豊富な知識と体制を持っているとは、残念ですが必ずしも言い切れません。
Webシステムを安全に運用するためには、システムを構成するあらゆる要素、サーバーやネットワーク、セキュリティに関する幅広い情報を常に収集し、お客様システムへの影響度を事前検証し、適用してもよいか判断できる要員と体制が必要だからです。
委託元には、セキュリティリスクを判断した上での委託先の選定、委託先が適切な運用を行っているか監査を行う責任があります。
外部委託先の選定ポイント
では、サイトの保守・管理を委託する外部パートナーをどのような視点で評価すればよいのでしょうか。
(1)過去の情報セキュリティ対応、セキュリティポリシーをヒアリングする。
セキュリティ事故の履歴及び対処方法を確認するとともに、例えば「情報セキュリティ自社診断」(IPA)等を使って、委託先候補の情報セキュリティ対策状況を確認し、必要に応じて現場を視察するなどして評価しましょう。
(2)情報セキュリティに関する各種認証等の取得状況を確認する。
個人情報について適切な保護措置を講ずる体制を整備している事業者を認定する「プライバシーマーク(P-mark)」や、組織における情報資産のセキュリティを管理するための枠組みである「情報セキュリティマネジメントシステム(ISMS)」の認証、クレジットカード情報を安全に取り扱うためのセキュリティ基準 「PCI DSS」に準拠していることの認定など、取得状況を確認することで、機密情報を安全に取り扱う体制が整っているか確認します。
(3)再委託先の有無を確認する。
委託先からさらに再委託された組織からの情報漏洩も考えられます。
再委託の有無を確 認するとともに、再委託先のセキュリティ管理・監督方法も併せて確認しましょう。
(4)事故発生時の損害賠償能力を評価する。
起きてはいけませんが、万が一セキュリティ事故が発生し、その原因が委託先にある場合を想定して、損害賠償能力の有無の判断、あるいは、関連保険への加入状況を確認することも重要です。
[参考資料]
「アウトソーシングに関する情報セキュリティ対策ガイダンス」(経済産業省)
まとめ
通販サイトのリピート理由の1位は「信頼できるサイトだから」であり、通販サイトを選ぶ基準について、50%以上のユーザが「セキュリティ対策がされている」と回答している調査結果もあり、セキュリティ管理をおろそかにすると、被害による直接損害だけではなく、大きな機会損失にもつながることがわかります。
集客したユーザを逃さないためにも、自社Webサイトのセキュリティ管理をもう一度見直してみてはいかがでしょうか。
キューノート エフシー
メール配信システムCuenote FC(キューノートFC)は、会員管理やメール配信後の効果測定をグラフィカルに表示。システム連携用APIなども提供しており、一斉配信からメールマーケティングまで行えます。独自開発のMTA(配信エンジン)とノウハウで、月間のメール配信数42億通・時間700万通以上(※)の高速配信を実現し、スマートフォンや携帯にもストレスなく高速・確実にメールを届けます。
※クラウド型サービス(ASP・SaaS)の実績値