写真1●ヤフー 社長室リスクマネジメント室の高 元伸氏
[画像のクリックで拡大表示]
写真2●ヤフーがセキュリティを高めるために従業員にお願いした実施事項
[画像のクリックで拡大表示]
ヤフーの社長室リスクマネジメント室の高 元伸氏(写真1)は、同社が導入したセキュリティ対策を野球になぞらえて、「完封はできない。点を取られても、ファインプレーに頼らずに試合に勝つ対策」と説明した。2014年5月28日に開催されたファイア・アイのプライベートカンファレンスの基調講演に登壇。同社が2013年に受けたサイバー攻撃を振り返りながら、導入したセキュリティ対策を紹介した。
ヤフーは2013年に、4月、5月、10月と繰り返しサイバー攻撃を受けた。高氏は、「最初の攻撃を受けるまで、サイバー攻撃はどこか他人事のように思っていた」という。4月の攻撃を受けて、初めて「私事」と認識したそうだ。
ヤフー社内には8000台近いクライアントパソコンがあり、人の出入りが多いことから、社内へのウイルス侵入は絶対防げないと考えていたという。そのため、同社が提供するWebサービスのサーバーやユーザー情報を収めたデータベースへのアクセスは、社内のパソコンからでも大きく制限して、監視もしていた。4月の攻撃では、攻撃者がユーザー情報を収集している段階で検知して情報漏洩を防いだ。5月の攻撃でも、情報収集している段階で検知できたが、検知から対処を講じる十数分の間に149万件のデータを持ち出されてしまった。高氏は、「4月の攻撃では情報収集を完了してからデータを外部に持ち出す手順だったが、5月の攻撃は収集しながらデータを外部に持ち出していた。攻撃者は、4月の失敗を教訓にして手順を変えたのだろう」と説明した。
