日産サイト50日以上の改ざん放置事件がISMSに示唆すること
日産自動車のセキュリティ事件がメディアに報じられていた。下取り見積もりを依頼した利用者の個人情報は盗み取られた可能性がある。内容はディーラーのセールスが欲しがる情報だから名簿業者に売られた可能性もある。
※
(2014/8/26 19:38)
- 日産自動車株式会社は26日、同社ウェブサイトの一部が不正アクセスにより改ざんされていたと発表した。
- 改ざんされたサイトは「下取り参考価格シミュレーション(tradein.nissan.co.jp)」で、改ざんされていた期間は 6月30日4時21分から8月22日23時22分まで。同期間中に該当サイトへアクセスすると、改ざんされたプログラムによって、第三者のサイトへ遷移す るほか、一部の人は意図しないファイルをダウンロードしていた可能性があるとしており、詳細を確認しているという。
- 日産では、改ざんを確認した8月22日に該当サイトを運用するサーバーを停止。また、同一サーバーで運用していた「他メーカー比較 (comparison.nissan.co.jp)」も停止している。現在は、セキュリティ専門会社による詳細調査を行っており、他サーバーへの侵入や 個人情報などの情報漏えいは確認されていないという。
- 日産は、改ざんされていた期間に該当サイトへアクセスした可能性のある利用者に、セキュリティソフトを最新バージョンにアップデート し、ウイルスチェックを実施するよう呼び掛けている。なお、同サーバーを使用するサイトのサービスは当面停止し、安全対策を実施した上で再開する予定とし ている。
.*.
日産のISMS
以下の2組織がISMS認証取得している。今回の事件との直接的な関連は無いかも知れないが、ISMSを推進する上では少なからず影響を与えたであろうと考えるのが本来だ。先行取り組み部門だから参考にするのは当然。
しかし、残念ながら両組織とも認証はBSIジャパンから受けている。しかも10年近くも同じ審査機関だとすると、適切な改善がなされてきたか疑問が残る。不適合を出さないのがセールスポイントみたいな審査を幾ら受けても、経営者が望んだレベルに達成することは難しいでしょう。
- 東京日産コンピュータシステム株式会社(2005)
- 日産名古屋書庫運輸株式会社(2011)
.*.
何が問題か
発表内容だけでは本質的なこと・具体的なこと分かりようがないが、
- 改ざんを受けたこと自体が先ず問題。
- 脆弱性管理はどうなっていたか?。
- 最新バージョンであったかどうか。最新の脆弱性情報の入手方法は適切か、活用方法は適切か。
- 外部からの模擬アタックによる検証の有効性評価と実施状況は適切か。
- 外部からアタックログ管理および分析は適切か。方法論~ツール。どのような攻撃を受けているか定性的定量的に評価する。
- 改ざん検知が遅れたことも重大な問題。
- 改ざん検知のための適切な仕組みを持っているか?
- トレース&トレンド管理は適切か。今回は、今までアクセス実績があったページへのアクセスが止まっているはずだ。そのことを検知できていない。
- 完全性管理または変更管理は適切か。リリースしたコードと実装コードは一致するかなど。
- システムログ管理は適切か。
- 適切なモニターシステムを持っているか。エンドユーザーの権限で実際にユーザーのようにサイト全体を回遊してもらうモニター制度。これを使えば、改ざん問題以外に画面設計など基本的な改善課題も抽出できる。
- ISMS改善のためのビジネスパートナー選定ミスも重要。
- 認証を得るなら審査機関も審査員もコンサルも選ぶべきだ。
- 自前でやるときもコンサルは選ぶべき。耳に心地よい汗をかかない提案をしてくるところはリジェクトすべき。よく騙されます。
- ISMSはワンフォオール、オールフォワン。全員参加、基本的職能、例外なし。これを回避する提案を持ってきたら塩を撒いてやりましょう。
.*.
