10人規模の会社でWEBサイト改ざんに遭って良かったこと
この記事は、【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2 Advent Calendar 2023の18日目の記事です。
こんにちは、Co.です。タイトルから不穏ですが今年初めに、WEBサイトの改ざんに遭いました。弊社初のインシデント対応でした。はい。
正直「こんな小規模の会社狙う人なんていないだろガハハ!」と高を括っていました。違う、そうじゃない。規模なんてなーんも関係なかったわ!
今年初めはそれを皮切りに色々すったもんだで常にシワシワ状態でしたが、年末でようやく頭が冷静になってきました。
「年に何度も来てほしくないけど為になった出来事TOP3」に間違いなくエントリーしました。台風かよ。
いやもうインシデントって自然災害レベルです。だからこの記事を見てくださった方には「自分はこうならないぞ」「予防してるぞもちろん」と見直すきっかけになってくれたら嬉しいです。
※対応内容は別エントリで書く予定です(尻叩き)。これは対応した後のまとめ記事になります。
1.チーム力が強くなった(と思う)
今回すごく学んだことです。チームで仕事するのが大事〜〜とは言いますが、規模が小さい会社ほど兼任でセキュリティ・総務・いろいろ肩書持っている方が多いかと思います(弊社も)。
IPAのセキュリティ対応でも口酸っぱく言われていることですが「社長(あるいは偉い人)を巻き込まないと対応進まないわこれ!!!!」と実感しました。
▼IPA 中小企業のためのセキュリティインシデント対応の手引きhttps://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/security-incident.pdf
ここで「社長(偉い人)忙しいから…」とか変に気を回さず良かったと思いました…。理由はとにかくやることが多い。
第一報(なんか画面の表示がおかしい)報告を受けて以下調査(一部)
GoogleSearchConsoleにログインし、影響範囲確認
WEBサーバにログインし、該当のファイルデータを掻っ攫い
内部スタッフに確認(誰か直近でアクセスしたか)
そのアクセスログをWEBサーバから拾う
スタッフからの問い合わせ対応
クライアントへの問い合わせの回答
Wordpressの停止とログイン情報の変更
社長は兎角スタッフやクライアントに説明する責務があるので、報連相は早いに越したことは無いと切に感じました。正直繁忙期ではなかったため、報告の段階でZoomを繋ぎ、リアルタイムでタスクを社長・上司・私の3人で振れたのが今回の幸いでした。
社長 → スタッフに一報入れる、全体管理
上司 → 同時進行で調査
私 → 対応に注力し、上司と社長に報告
あとは本当に精神的安定さも半端ないです。チームって良い(イメージ)
2.新しいツールを入れるきっかけになれた(これはそう)
正直、情シス側としては一番「た、大変だったけどやってよかった‥!」と実感した副産物です。
今回のインシデントの原因は大きく2つありました。
管理パスワードが脆弱だった(&2段階認証を設定していなかった)
管理パスワードを使い回ししていた
お…お粗末!!!!(自分で言っておいて)
何度か社長とも「いつか改善しような…」と肩を叩き合っていた(上イメージ)なのですがツケが一気に回ってきました(白目)
また、この当時Wordpressも利用していて「もう少しデザインもフレキシブルにしたいから、変えたいね」という話を先輩と3年前からしていました。。なのでこのインシデントを機に、改ざんが発覚した当日にWordpressも削除しました(データもハッカーに書き換えられていたので)。
こんなことそう何度も起きてほしくないですが、やっぱり「急ぎたい理由がある」と動きも早いなと。だからと言ってもうやりたく無いですけど。
この後パスワードマネージャー導入と、2段階認証できるWEBサーバに変更するきっかけになりました。
でも個人的にKeeper使いやすいです。なんでもっと早くやらなかったんだろ。
3.将来のことを見据えて対策を練れるようになった(たぶん)
弊社10人規模の会社ですが、やっぱりずっとずっとずーー〜っと社長を中心に「一緒に働いてくれる仲間を増やしたい」と言ってきたんですね。
テレワーク、リモートワーク、時差出勤、休暇制度、副業OK、諸々。「スタッフが、自分の力を最大限発揮できる環境をコーポレート部門で作っていこう」社長、役員がいろんな制度を導入して、今の会社を作ってきました。
で、このインシデントが遭ってから社長を中心に「一緒に働いてくれるスタッフはもちろん、パートナーさんにも安心して長く仕事を一緒にできたら良いよね」
…
……
………
…………これ、これ、、
すごくないですか!!??(唐突な社長自慢)
もちろん、クライアントも、パートナーも素敵な方々です。でも社長の口から続けて「パートナーさんにセキュリティの説明をするとき。クライアントからのセキュリティ要望が年々厳しくなっているからっていう理由だけじゃなくて、一緒に仕事をしてもらうためにこういう理由でこの対策が必要だって説明できるようにならないとね。お互いに信頼して仕事を長く続けていきたいからね。そのための対策も今年から来年にかけて、打っていこう」
思わず「社長、カッケェっス…」って呟きました。
私は今の会社の社長と、社長の友人の社長(ややこしい)しかあまり社長の面識(?)が無いのですが、こうやってちゃんと言葉にして思い合える社長と一緒に働けて本当に幸せだな〜。
元々セキュリティに対しても自分ごとになって取り組んでくれていた社長ですが、インシデントの影響もあって一層周りの人たちにも気を配ろうと視野が広くなって見習おうと思いました。以下は継続中取り組み。
パートナーへのセキュリティアンケートを送ってヨシ!としない取り組みにする
希望制でパートナーの方にセキュリティ説明できる時間を30分ほどいただいて説明する
お試しでセキュリティパートナーとして私が派遣される(?)
実は3番目は実際にやったので、また来年この記事でエントリができたらと思います笑
1年に1記事の頻度となってますが、ここまで読んでいただきありがとうございます!へーしゃで働きたい方、社長との距離短く(最短距離)で働きたいデザイナー、ディレクターの方いつでもご連絡ください笑
(記事に不適切な内容がありましたらご指摘いただけると幸いです)
この記事が気に入ったらサポートをしてみませんか?