見出し画像

セキュリティ事故

ハエトリグモの一生

はじめに

 今月私の誕生日を迎えた翌日、大手出版企業において、ランサムウェアの感染を含む、大規模なサイバー攻撃の被害があったとのニュースがありました。 詳細はここでは記載しませんが、影響範囲としては一部の社内システムと有名サービスを含む顧客向けのサービスが停止した大規模なものでした。 3日で障害を受けたサービスに置き換わる新バージョンをリリースした開発チームに称賛したいと思う反面、自社の複数のサービスが停止にまで至り、復旧も1ヶ月以上かかるという被害にはぞっとしてしまいました。
 今回のニュースを通し自分が過去に経験したセキュリティに関する問題を思い出したため、その時のことを書こうと思います。

参加までの経緯

 もう5年以上前の話になるため、一部記憶違いもあるかも知れませんが、以前弊社が社内システムで利用している外部パブリッククラウドサービスを経由して技術的な問題が発生したことがありました。
 当時私は業務的には直接関係のない製品開発部門にいたのですが、パブリッククラウド上に弊社の社内システムを構築頂いているSierさんからの改善提案の妥当性が、現場では判断できなかったとのことで、当該クラウドサービスに関する知見があった私にお声がけ頂き、オブザーバーとして一時参加することになりました。
 当時はとある暗号通貨取引所から巨額な仮想通貨の流出事件があった後の出来事で、世間で大きな不祥事として大々的に報じられていたため、ここで働くエンジニアの人は実際の業務とは無関係であっても、世間からは余計な視線を向けられるに違いないなと思っていた矢先のことだったのを覚えています。

技術的な問題

 呼び出されたプロジェクトでは、パブリッククラウド上のデータのアクセス制御の設定等に不備があるにも関わらず、その上に構築したアプリケーションレイヤーのみで情報を制御していました。こうした実装は想定されたアプリケーション以外からのアクセスにより、重大な情報漏洩に発展する可能性があります。またクラウド上にこのような実装をした場合、第三者のセキュリティサービス事業社によるセキュリティチェック等では不正なアクセスとして発見しにくい場合もあります。このような場合はクラウド事業者側が独自にセキュリティスキャンを用意していたりするので、併用するのが良いでしょう。
 ちなみに今回のニュースはまだ調査中とのことですが、サイバー攻撃が原因であり、また攻撃されたのは出版社グループ内で運用しているデータセンターで、パブリッククラウド側は被害が無かったとありますので、事象としては全然異なるものです。

対応

 最初に私が呼ばれたMTGでは当初、当然考慮されるべきセキュリティの課題が考慮されていなかったにも関わらず、Sierさんからは責任ある返事を頂けませんでした。そうした事態に対し、もしこんな話がこのまま通るのであれば、これからもセキュリティに不備があるシステムが世間に量産されてしまうではないか、というエンジニアとしての義憤も無いわけではなかったのですが、当初はまだ事件の全容が正確には把握できていなかったため、話題となっていた巨額仮想通貨の流出事件が思い浮かんで、我々もセキュリティ意識が低い会社のエンジニアとして世間から不信の目を向けられるのではないか、また会社への影響がどのくらいあるのかと底しれぬ恐怖を感じていました。
 当時自分が所属していた開発の部署ではサービスの目玉となる大きな機能開発が佳境を迎えるタイミングで、同じチームのみんなが夜な夜な背中を丸めて作業に勤しんでいたのですが、もし今回の件が大きな事件となり、大々的に報道でもされたら、こんな地道な頑張りは理不尽にも軽く吹き飛んでしまうのだろうなと非常に情けない気持ちになったのです。
 私個人としては社内システムの構築を担当頂いたSierさんからの提案に対し、漏れている確認すべき事項を提案したのみでお役御免となりましたが、その後はSierさんの方でベンダー責任で対応頂き、ログの監視方法や各種データアクセス方法等の見直し等を行い、担当者から問題の修正も完了したと聞きました。結局のところ事件の影響範囲もごく限定的なものでしたので、今回のニュースのように自社の複数のサービスを停止にまで追い込み、株価にも大きな影響を与えた事件とは比べるまでもない出来事かも知れません。ただ当時、この問題に出くわした当初にはまだログも完全には調査出来ておらず、影響範囲がどの程度まで及ぶか分からなかったこともあり、とても恐怖に感じました。

感想

 事故を未然に防ぐようなものは、直接的な成果が見えにくいのが難しいところですが、今回のニュースも対岸の火事ではありません。
 これからも現場から上がってきたセキュリティに関する各種対策に対しては報告する側も出来る限り定量化して評価しやすくするなどの工夫をし、報告を受けた経営・マネジメントの方々にも、出来る限り内容をご理解頂き、会社として対応していって欲しいと思います。


この記事が気に入ったらサポートをしてみませんか?