小林:ボット? ボットって何だ?
山下:ひとことで言えば、パソコンを意のままに操るソフトということでしょうか。
小林:ん? ということは、顧客情報が漏れる可能性もあるっていうこと?
山下:理論的に言えばそうですね。
小林:山下君。これはおおごとだよ。顧客情報の流出を防がないといけない!
山下:うーん。顧客情報の流出の可能性をなくすためには、このショッピング・サイトを停止する必要があります。そんなことをしてしまって大丈夫でしょうか?
小林:他に手はないのかね。
山下:被害拡大を抑えるには、まずは該当するサーバーをネットワークから切り離し、その上で原因の究明や復旧作業を行うほかないでしょう。
小林:分かった。オレが責任を取るから、該当サーバーの停止と、バックアップ・システムへの切り替えを進めてくれ。
山下:了解しました。
CIO に求められる重要な役割の 1つは、今回のようなインシデントの発生したシステムやサービスを、被害拡大の抑止や原因究明および復旧作業のために停止するか否かの判断を下すことである。
理屈上、インシデントの被害拡大を防ぐには該当システムをネットワークから切り離すのが最善の方法であることは間違いがない。しかし、例えば今回のケースのようにオンライン・ショッピング・サイトが対象となっている場合、そのサービスを停止することは事業全体に影響を及ぼす重大な事態である。
今回の場合は、バックアップ・システムへの切り替えが可能であることや顧客情報の漏洩という危機的な状況であることから、小林は「該当サーバーの停止」という判断を比較的容易にくだすことができた。しかしバックアップ・システムがない場合はどうだろうか? サービス停止による損失額はもちろん顧客情報の漏洩の危険性の度合いなどを判断材料として、代替手段についても検討すべきである。
CIO は常にサービスを停止することによるメリットとデメリットを慎重に判断して対応方針を決定しなくてはいけない。また判断が確定したところで、ことの経緯、対応内容を経営陣へ報告することを忘れてはならない。
小林:しかし、わが社のサイトはなぜボットに感染してしまったんだ? ファイアウォールやウイルス対策に穴があったということなのかね。
山下:確かにおっしゃる通りですね。調べてみます…。
山下課長は、サイトを運営していた××社に問い合わせた。回答を待つ間,山下課長がボットについて調査すると、驚くべきことが判明した。
山下:部長。どうやらボットは、ファイアウォールやウイルス対策では完全に防げないらしいです!
小林:え!? どういうことかね!
|
[参考]
・Teleco-ISAC Japan第1回JPCERT/CC共催セミナー(2005年7月27日)
https://www.telecom-isac.jp/seminar/index.html
|
[参考]
・Internet Week 2005「IP Meeting 2005」インターネットセキュリティトピックス
http://www.jpcert.or.jp/present/2005/InternetSecurityTrend20051209IWIP.pdf
・ボットネットの概要
http://www.jpcert.or.jp/research/2006/Botnet_summary_0720.pdf
山下:××社の報告によると、ボットはWebサーバーのセキュリティ上の欠陥(セキュリティ・ホール)を突いて侵入してきたということです。
小林:なぜその欠陥を塞いでおかなかったんだね?
山下:Webサーバー・ソフトの開発元からセキュリティ・ホール修正用のパッチ・ソフトが公開されていなかったため、塞げなかったとのことです。セキュリティ・ホール発見から対応までの時間差を突かれました。
|
|
|
