ある流通系企業のECサイトにおいて,利用者の情報がインターネットから丸見えの状態で放置されていた――。このサイトの開発と保守を手がけていた大手ITベンダー勤務の藤島氏(仮名)は,一歩間違えば大騒動になっていたかもしれない問題を見つけて驚いた。
このサイトは藤島氏が所属する大手ベンダーが3年前に構築し,その後の運用保守も同じベンダーが一手に請け負っていた。藤島氏は半年ほど前に,このサイトを構成するサブシステムの一つを保守することになり,顧客企業に常駐していた。問題を見つけたのは,保守担当者になってしばらくしたころだった。
藤島氏はある日,ふとしたことからECサイトで利用していたApacheの設定ファイル「httpd.conf」をチェックした。そこには,Apache用モジュール「mod_status」を利用する設定が記載されていた。mod_statusは,サーバーのCPU使用率やApacheの連続稼働時間などの動作状況を監視するためのものだ。
問題は,mod_statusがサイト利用者のIPアドレスも収集していたことだった。しかも,mod_statusで取得した監視データは,インターネットを通じて丸見えの状態になっていた。IPアドレスは個人情報ではないが,個人情報保護法の施行でこの企業のセキュリティ・ポリシーが強化され,IPアドレスといえども利用者に関する情報を外部に流出してはいけないことになっている。
藤島氏は,他のWebサーバー数十台の設定もチェックした。すると,設定ファイルをコピーして横展開していたようで,全サーバーがmod_statusを使っていた。あわてた藤島氏は早急にmod_statusを停止した。
mod_statusの問題以外にも,様々なセキュリティ上の脆弱性が見つかった。例えば別のサブシステムでは,他の拠点にあるDBサーバーをインターネット経由でリモート管理するためのスクリプトを使っていた。このスクリプトには,対象サーバーの管理者アカウントとそのパスワードが埋め込まれており,インターネット上を平文で流れている状態だった。藤島氏も同じようなスクリプトを使っていたが,通信を暗号化していた。
藤島氏は,全システムで共通する基本的なセキュリティ対策が打ち出されていないことに疑問を感じた。ECサイトをはじめ,サブシステムごとに別々のマネージャが担当していて,それぞれがサブシステムのことしか考えていないからだ。藤島氏は,「セキュリティの知識に乏しいマネージャのサブシステムは,かなり脆弱だ」と感じている。
このケースでは,各サブシステムの担当者たちにセキュリティのスキルが不足していた上に,システム全体を見渡してセキュリティ対策を提言できる人材もいなかった。これが問題を起こした直接の原因だろう。
だが,この大手ITベンダーには,高度なセキュリティのスキルを持った技術サポート部門が存在する。ECサイトの開発や運用保守を大手ITベンダーに依頼する際,ユーザー企業はそうした後方支援にも期待していたことだろう。
ITベンダー側は,たとえセキュリティのスキルが不足している者にSEを担当させるにしても,それを補う手段を考える必要があった。例えば,技術サポート部門にいるセキュリティのエキスパートが,サイトのセキュリティをレビューすれば問題は防げただろう。そこまで手をかけられない場合でも,エキスパートが作成したチェックリストを基に,現場でシステムを調べていけば,一定の成果を上げられる。
