事例から学ぶ気付き

著:菱沼佑香氏

システムを安全に、安心して運用するために考えたいこと第04回 20年09月更新

こんにちは、吉政創成 菱沼です。
今回ご紹介する事例は、航空会社の予約システムをオンプレミスから、S-Port Cloud Vシリーズへ移設したというものになります。
個人情報を預かる予約システムだからこそ、セキュリティ面での不安を抱えており、コストパフォーマンスが良く、堅牢なデータセンターであるということを評価して採用されたようです。
そこで今回はセキュリティと運用について考えてみました。

脆弱性の放置と設定ミスは不正アクセスへの切符

情報処理機構(以降、IPA)には国内のウイルス感染被害の情報が寄せられており、IPAでは定期的にレポート化して公開しています。
コンピュータウイルス・不正アクセスの届出事例[2020 年上半期(1 月~6 月)]に記載されている報告によれば、今年の上半期で寄せられた報告は次のように分類できるそうです。

・ウイルス感染の被害 (9 件)
・メールシステムの不正利用・アカウントへの不正アクセス (13 件)
・パスワードリスト型攻撃による不正ログイン (3 件)
・ウェブサーバへの不正アクセス (7 件)
・アクセス制御不備・運用不備により攻撃を受けた事例 (6 件)
・その他 (8 件)

そして、それぞれどういった事例だったのかについても書かれています。
中身を読んでみると、ウイルス感染については大体が社員のPCにウイルスが仕込まれて~という感じのものが多く、また、パスワードリスト型攻撃は個人の注意で何とかしてくれと言うものが多いようなので、横に置いておくことにします。

さて、それ以外の事象に関しては、システムの脆弱性をついたものやインフラ側の設定不備に起因して起きてしまったものがありました。
脆弱性への対応について問題となるのは、パッチが提供されているにもかかわらず、アップデートしていないことにあります。
アプリだろうがCMSだろうがOSだろうがネットワーク機器だろうが、脆弱性が絶対にないと言い切れるものではなく、それなのに、アップデートを放置されているというケースはそれなりの数があるようです。
実際、2017年に猛威を振るったWannaCryは、Microsoftは同年3月にセキュリティパッチを配布しましたが、被害者数はかなりの数になりました。同年5月にトレンドマイクロ社が公開した情報によれば、WannaCryによる国内攻撃数は1万6千件を超えたことを確認しているそうです。このWannaCryの被害に遭った人のほとんどはセキュリティパッチを適用していなかった人だったようです。

この事例からもわかるように、システムに脆弱性が発見された場合、速やかにアップデートを行うべきですが、これまた事例からもわかるように、存外、脆弱性を放置しているというケースはよくあります。
また、システムの設定不備に関してもまた、うっかり設定をミスしていたり、忘れていたり、といったこともままあるようです。

忙しいから後回し、他への影響が怖いから放っておく、はよくある話だと思う

個人的にシステム運用×セキュリティについて苦い思い出も抱えています。
私自身はシステムエンジニアではなく、ただのマーケ担当者であったことから、システム面の管理は担当者を信じて丸投げしていました。正直に言えば、システムのことはわかりませんし、そこに自身のリソースを割くほどの余裕はなく、自身が自由に触れる範囲(CMSやメール配信ツール)にしか意識が行きませんでしたので、管理できる人がいるなら迷わずマルナゲーション!という状態です。
そんなある日…。なんとパッチが適用されていなかったか、開いていてはいけないところが開いていたかの問題を外部から指摘されてしまったのでした。そしてその指摘をもとに情シスに確認してみれば、情シスは認識していたけど、忙しいから後回しにしていたということでした。丸投げしていた自身に問題があったことも確かですが、前任からも情シスからも共有がされておらず、あの時は本当にがっくり来ました…。金銭を生む直接の要因でもないので後回しになってしまったのでしょう。これは今でも忘れられない出来事で、苦手意識を持つ物が増えたきっかけでもありました。
ただ、こういったことはたまにあることのようで、似たような話をたまに耳にします。

私の場合は幸いにも問題が起きる前でしたし、そもそも顧客情報を管理するようなサーバでもなく、何かあったとしても問題のない、もしくはそう大きな問題には発展しないレベルのものだったようです。(詳細は覚えていませんが、ただ、企業としての信頼性が落ちるじゃないかとひやひやしていたという鮮明な記憶が…。)

また、これまでいろいろな企業でお話を伺ってきた中で、アップデートすることで機能が動かなくなる可能性があるからアップデートできないのだ、という話も結構な頻度で耳にします。

ですが、顧客情報を管理するようなものや金銭を生むもの(通販とか)だった場合、こうした穴を放置し続けることは、情報漏洩と言う、企業にとって致命傷になる状態になる可能性があります。自身で管理するだけのスキルや時間が持てないのであれば、専門家に任せ、管理をきっちり行ってもらった方が安心感は非常に高くなりますし、リスクも低減します。

また、完全にまかせっきりにするのではなく、運用管理者と定期的に情報共有をしたり、たまに脆弱性診断を行ったりするなどができれば、より安心できるのではないでしょうか。
大切なデータを預ける先には、技術レベルはもちろんのこと、運用体制や協力体制にも注目していきたいですね。

緊急時にもスピーディーな対応に他社にはないメリットを感じた

さて、この事例は、これまで自社サーバで管理していた予約システムをクラウドサーバへ移行したというものになります。顧客の個人情報を取り扱うからこそ、高いセキュリティレベルを求めていたようですが、決め手の一つにスピーディーで丁寧な技術サポートと言うものが挙げられています。システム運用中のトラブルにはなるべく速く対応してくれるというのが大きな安心材料となったようです。

話題の天草エアライン株式会社でS-Port Cloud Vシリーズが採用

天草エアライン株式会社 | S-Port Cloud Vシリーズ

導入ポイント:
・初のクラウド利用でも安心できるセキュリティの高さ
・他社と比較して安価な料金
・スピーディーで迅速かつ丁寧な技術サポート

お客様コメント:
日々の改善活動の中、自社サーバで運営していたWeb予約システムをクラウド上に移行することの検討を始めました。お客様の個人情報を取り扱うサーバであるため、信頼できるクラウドに移行したいと考えていました。そのような中、高いセキュリティレベルと料金的な魅力から鈴与シンワート社のS-Port Vシリーズの導入を決めました。導入後のサポートも大変手厚く、ご対応に感謝しています。