Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

駅シェアオフィス

つぶやいてみた。

駅ナカのシェアオフィスが実証実験しているのを品川駅でみかけました。

www.jreast.co.jp

f:id:foxcafelate:20190202070054j:plain

 

◆キタきつねの所感

利用登録が必要との事でしたが、時間がなかったので写真を撮るだけでスルーしましたが、実証実験中だからか無料で利用できるようですね。(東京・品川・新宿駅

係員の方が居ましたが、、昼間だったからかあまり利用はされてませんでした。電話ボックス的なブースに机と椅子と暖房(冷房)、電源、そしてWifiがあるのでPCを持込んで作業ができる様です。

1コマ15分で1回利用が2コマまで・・30分を上限として利用が出来る様で、防音性に優れていれば、メールチェックや簡単な得意先のプレゼン資料チェック等々に使えそうな感じでした。

シェアオフィスを利用した事がありますが、駅チカであっても分かりにくい場所にあったりする事もあるので、電車で移動中に予約してしまえば、確実に15分使える、あるいは新幹線で移動前に使う・・・そんな使い方も考えられそうです。

問題は利用価格ですかね。。。実証する側も熟考中なのではないかと思いますが、スターバックスのコーヒー代より高ければ、緊急利用でなければ、あまり利用されないでしょうし、JRの駅構内ですので家賃も高いでしょうから、それなりの利用額設定を考えて移送です。

法人利用か、クレジットカード等々の上級会員の付帯サービスなどがメインとなってしまい、個人利用は一部の層に限られてしまうかも知れません。

 

セキュリティの観点だと、(当然サービス事業者も対策を考えているとは思いますが)このサービスで利用するWifi環境を外部からハッキングされるかもしれない。そうした考え方でサービスが構築されているのかが気になる所です。外からSSIDが見えるサービスであり、どこかに無線機器が(物理的に)居ると思うので、そこを侵害できたとすると、法人契約をしている企業の重要情報を吸い上げられる、そんな攻撃を考えるハッカーが居てもおかしく無い気がします。

 

説明用の係員が居るので(アンケートでも取るのでしょうね・・・)難しいかと思いますが、PCを持ち歩いていない場合は・・・(無料+防音環境で)電話をかけまくる営業さんにとって利用価値が高い場所にも思えました。

 

f:id:foxcafelate:20190202070120j:plain

 



 

 

更新履歴

  • 2019年2月2日AM(予約投稿)

試験での不正を考える

つぶやいてみた。

試験での不正はイタチゴッコでありますが、スマホだけでなく、最新の機器が使われる可能性がある事を考えていく必要がありそうです。

www.sankei.com

 

 大学入試センターは20日夜、スマートフォンを使って用語を調べるなどの不正が2日間で計4件あったとし、関わった4人を全科目受験無効処分にしたと発表した。4人とも不正行為を認めているという。

 不正行為の内訳は、スマホ使用2件▽定規使用1件▽試験終了後のマークシート記入1件。センターによると、このうち宮城県の会場では20日、理科(2)の試験中に1人がスマホを使い、インターネットで用語を検索していた。三重県の会場でも理科(2)で1人がスマホの計算機能を使っていた

産経新聞記事より引用)

 

◆キタきつねの所感

幸いにして、そうレベルの高い不正ではなかった様です。ガラケーでも同じ事は出来たのかと思いますが、最近のスマートフォン、あるいはスマート家電は音声認識も使う事ができますので、日本でも発見できてない手法で不正は既に行われているかも知れませんし、今後も摘発されるケースが増えていくものと思います。

 

テストでの不正は海外の方が進んでおりある意味もっと大々的です。今回のケースは試験管が気づきやすいものであった計算機能(動作が不自然だったか、試験管の巡回でしょうか)とスマホでの用語検索(スマホ画面の光が漏れていたか、試験管の巡回でしょうか)という単純なものでしたが、アップルウォッチ等のハイテク時計がいち早く禁止されたように、学生側も色々と考えてきます。

 

検索や計算機機能を使う以外にも、例えば公式や単語集などのカンニングメモを別に作っておいたものを、アップルウォッチでテキスト表示させる様な手法も既に公開されています。

www.youtube.com

 

さすがにアナログでない時計は試験で禁止するケースが多いかと思いますが、禁止要件がゆるい一般のミニテスト等では、未だに有効な不正手法かも知れません。

 

時計だけでなく、ネットで検索してみると様々なハイテクカンニング機器が出てきます。例えば北京で摘発された、消しゴム型のディスプレイ受信機は、そこまでやるのか・・・と考えさせられます。

テキストメッセージを30秒表示させる不正手法法なのですが、消しゴムに偽装しているのでケースを被せると、見つけるのは難しそうです。

www.fnn.jp

 

同じ記事で、もう1つの手法が紹介されていましたが、極小イヤホンは・・・一度入れると強力磁石でないと取り出せない大きさの様ですので、試験管がカンニングを見つけるのは非常に難しいかと思います。

edimaeg a780?a680?CovertワイヤレスマイクロSpyイヤホンイヤフォンMini Tiny Invisible EarbudスパイバグデジタルNano &フルセット

edimaeg a780?a680?CovertワイヤレスマイクロSpyイヤホンイヤフォンMini Tiny Invisible EarbudスパイバグデジタルNano &フルセット

 

 

消しゴムもイヤホンも、不正の回答を配信する協力者がいなければ役立たない訳ですが、内部に協力者を置く場合は、すべての問題に自力で正解を導きだせる人が、回答を音声で配信するか、電波発信機器に対して入力して配信する必要があります。

 

と考えると、外部に協力者を置く手法でないと、この手の組織的カンニングを成立させるのは厳しいと言えそうです。

こうした不正を防ぐには、最初に問題を外部の協力者に送る(カメラか音声でしょうか・・・)部分を取り押さえるか、外部と内部の通信を検知する、あるいは妨害する事を考えるべきなのかも知れません。

 

外部と内部の通信を検知するとすると、海外では携帯電波の検知装置(約5万円)があるようです。

youtu.be

 

こうしたハンディ機器もありますが、コンサート会場などで携帯電話を抑止させるシステムなどを大型試験会場に設置する・・・

www.sem.co.jp

 

それが難しいのであれば、私物ロッカーを設置し、金属探知機でスマホを含む機器類の持込みを検査するしかないのかも知れません。

 

金属探知!と思う方は多いかも知れませんが、マイナビの記事では、

mikata.shingaku.mynavi.jp

 

ハイテクなカンニングが問題になっている中国では、試験会場に入る受験生たちを金属探知機でボディーチェックを行います。金属製のバックルがついたベルトや、ブラジャーのホックなども持ち込めないのだとか。手術などで体内に金属ボルトが入っている人や歯に金属が入っている場合は医療機関の証明書が必要になるなど、まるで空港のテロ対策なみの策が講じられています。さらに受験生同士の距離を離れさせるためにグラウンドに机を並べたり、最近ではドローンで上空から監視したりするなど、その対策はまるでハリウッド映画なみのスケールで行われています。

マイナビ記事より引用)

 

中国では既に金属探知を実施している、つまり実施しないと防げないと判断している様ですので、こうした脅威が増していけば、日本でも何らかの対策しなければならない時代が来るのは、そう遠くないかも知れません。

 

 

ã«ã³ãã³ã°ããã¦ããç·ã®å­ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月27日PM(予約投稿)

マラ工科大学の個人情報漏洩事件

海外事件 つぶやいてみた。

マレーシアのマラ工科大学の100万件以上の学生(卒業生)の個人情報がオンラインにリークされた様です。

www.lowyat.net

 

2000年から2018年の間にTeknologi Mara大学(UiTM)でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンラインでリークされました。

リークされたデータには、Shah AlamのUiTMメインキャンパスからの学生の詳細な記録と、全国の13の自治州のキャンパスが含まれています。また、このデータ侵害の影響を受けるのは、外部の大学でUiTM認定コースを受講した学生です。 Teknologi Perak。

違反データの個人情報には、受講者ID、受講者名、MyKAD番号、住所、Eメールアドレス、キャンパスコード、キャンパス名、プログラムコード、コースレベル、およびハンドフォン番号が含まれます。

調査したデータダンプに基づいて、データベースがUiTMのオンラインサービスのいずれにも由来していないことはほぼ確実であり、オンラインセキュリティの欠陥を悪用することによって得られた可能性を排除しています。

匿名を希望する私たちの情報筋によると、データ侵害は2018年2月から3月の間に発生し、UiTMはその侵害を認識していますがまだ公式の声明を発表していないという。

(Lowyat.net記事より引用)※機械翻訳

 

◆キタきつねの所感

100万件以上の学生と卒業生のデータの漏洩という記事ですが、記事に出ているサンプルデータを見る限り、内部からデータ漏洩した可能性が高いようです。

学校側は公式に漏洩を発表(認めて)ない様ですが、学籍番号、氏名、住所、メール、携帯番号・・・学校特有のコードも入っていますので、元データと突き合わせれば、漏洩があったかは容易だと思いますので、恐らく学校側としては既に連絡を受けていたのに公表しないのは、事件を隠蔽したかったのだと思います。

20年近くの膨大な学生(卒業生)データは、全てが最新という訳ではないでしょうが、卒業しても個人情報の更新がされている率は、一般企業などより高いかと思います。そうした意味では(投資や転職引き抜き・・・等々)個人情報としては価値があるものだと思います。

 

ここまでならば普通の記事なのですが、問題だと思うのが、、、オンライン侵害(ハッキング)ではなさそうだという点。

 

学内システムがマルウェアに侵されて・・・という可能性は残っているのかも知れませんが、内部犯行の可能性が高いとなると、18年分の100万件以上のデータにアクセスが出来る権限を持つ職員、あるいはシステムメンテナンス(更新)のベンダー、またはバックアップデータの管理が脆弱・・といった所なのかと思います。

 

学校の基幹DBから学生情報がごっそり漏洩する、あまり聞いた事が無い事件ではありますが、そうした事が起こりえるかも知れない。ゼロ・トラストの思想で日本の教育機関も自社のセキュリティを改めて見直す方が良いかも知れません。

 

 

 

大学ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月26日PM(予約投稿)

脆弱性診断は自社が先にやらなければならない

不正アクセス事件

またSQLインジェクションです。まだまだOWASPから落ちる事はなさそうです。

www.security-next.com

 

■公式発表 不正アクセスによるお客様情報流出に関するお詫びとご報告

 

つり番組に特化した専門チャンネルを運営する釣りビジョンのウェブサイトが不正アクセスを受け、顧客情報6万3656件が、外部に流出した可能性があることがわかった。

同社によれば、同社ウェブサイトに対し、SQLインジェクション脆弱性を突く不正アクセスが海外から行われたもの。

1月5日にウェブサーバを管理する委託先より異常を検知したとの連絡があり、その後の調査で脆弱性診断ツール」を用いたと見られる不正アクセスが行われていたことが判明したという。

不正アクセスを受けたデータベースには、2006年以降のプレゼント応募や、番組の人気投票に関する顧客情報6万3656件が保存されており、これらが流出した可能性がある。

このうち4682件には氏名、住所、メールアドレス、7629件には氏名とメールアドレスが含まれる。のこる5万1345件についてはメールアドレスのみだという。

(Security Next記事より引用)

 

◆キタきつねの所感

この事件記事をみて、まず思うのが、SQLインジェクション脆弱性について、Webサイト運営者は未だに真剣に考えてないという事。個人情報漏えいが事件も多数発生している中で、SQLインジェクションを攻められたというのは、個人情報を取り扱う事業者という観点では問題があったのではないかと推測します。

 

公式発表を見ると、

f:id:foxcafelate:20190127160616j:plain

TV視聴契約側ではないという事がかかれており、事件の影響を限定させようとする意図が感じられます。(間違っている訳ではもちろんありませんが・・・)

6万件の情報流出というのは、件数ベースで考えるとそう多くはありません。しかし特定の分野(釣り)での個人情報という意味では、コアなファン層のフラグを立てて他の情報とマージすると、価値のある情報であると言えるかも知れません。

 

IPAの最新の発表では、SQLインジェクションに関する脆弱性は一時期に比べて報告が減っています。勿論今回のSQLインジェクション攻撃が、0ディ攻撃あるいは、釣りビジョン社が脆弱性の対応中に不幸にも起きてしまった可能性もありますが、脆弱性診断ツールを使われたという事から想像すると、既知のSQLインジェクション脆弱性を突かれたのだと思います。

internet.watch.impress.co.jp

 

脆弱性診断ツールを使った攻撃という所、ついに来たかなと思います。擬似攻撃ツールといえども攻撃ツールですので、攻撃者のレベルが国家レベルのハッカー並みに高くなくても、Webサイトの脆弱性を把握できてしまいます。そこで出てきた脆弱性SQLとなれば、内部DBに本格的に攻撃をかけてきても不思議ではありません。

 

公式発表の時系列も興味深い部分があります。

f:id:foxcafelate:20190127160612j:plain

 

1月5日は土曜日で、委託先会社が検知しても、事業会社である釣りビジョン社が判断をするまでに時差が出ています。詳細調査とIPブロックの判断したのは1月7日の月曜日となります。

 

週末で釣りビジョン社の判断ができる人が捕まらなかったのだと言えるかも知れません。勿論、大量の不正アクセスがこの期間に行われたという記載はありませんので、被害がなかったのかも知れませんが、インシデント発生に対して、体制が出来てない(判断できる人の携帯が繋がらないのは、責任者が釣りに出ていて電波が届かなかったのかも知れませんが・・・)事を示唆しています。

攻撃側は防衛側のセキュリティ体制が手薄な、夜間や休日を狙ってくる事が多いのですが、まさにこの事件はそのパターンを踏襲しています。

 

Web脆弱性診断は、定期的に実施すべきだと言われ続けていますが、事業者が実施をしない(委託会社に要求しない)事がリスクであると認識すべきだと思います。

 

でなければ、外部(海外IP)から、”脆弱性診断をされてしまう”のが先になってしまうかも知れません。今回の脆弱性について1月7日に修正が1日で終わっています。(おそらくパッチを当てたのでしょう・・)

最新パッチ当てがルーチン化されていれば(場合によってシステムを夜中に止める事も必要でしょうが)、被害を受けなかったのかも知れないのです。

 

参考:OWSP TOP10の日本語版は下記にPDFがあります。

 

www.owasp.org

 

 é­é£ãã»ãã£ãã·ã³ã°ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月27日PM(予約投稿)

GDPR違反の罰金額を調べてみた(2019年1月版)

調べてみた。 GDPR

Googleに対してフランス当局(CNIL)がGDPR違反で5000万ユーロの罰金を課す事が発表され、Googleが不服申し立てをする様ですが、GDPRの罰金額・・・当初言われていた全世界売上の4%(最大)という恐ろしい罰金ではなかったので、少し調べてみました。

japan.cnet.com

 

◆キタきつねの所感

海外の記事を調査していたのですが、GDPR違反の調査中である企業はかなり多い様です。ですが罰金額まで課されたケースは、あまり多く拾えません。Google以外では(少なくても)2件の事例が出ている様です。Googleと同時期にGDPR施行翌日にプライバシー保護を訴える非営利団体noybの訴えに訴えられ,調査中であるFacebook、WhatsApp、Instagram(Facebook)も、noybの情報を参考に、状況を載せておきます。

年月 組織 最大罰金額
(理論上)		 罰金額 違反概要
2018/7 某病院 ポルトガル
(CNPD)		 不明 40万ユーロ
(約5000万円)		 病院のスタッフ等の職員が誤ったプロファイルを通じて患者データにアクセスしており、医師は専門分野に関係なくすべての患者ファイルに無制限にアクセスが出来たとして、患者データを保護する為に適切な技術的・組織的措置を講じてなかったと判断された。病院側は罰金に意義を唱えている。
2018/11 Knuddels.de

 ドイツ
(Baden-Württemberg Data Protection Authority)		 不明

2万ユーロ

(約250万円)

 チャットプラットフォームのサイトに少なくても33万件の電子メール、ユーザの本名、本拠地、パスワード(平文)などの個人情報を公開した違反により罰金が課された。ドイツ初のGDPR違反。
2019/1 Google フランス
(CNIL)		 37億ユーロ
(約4600億円)		 5000万ユーロ(約62億円) Googleが自社のデータ収集ポリシーを正しく説明してなかった。検索エンジンが自社サービス内のデータ処理や個別広告に関してユーザの同意を得てなかった。
※フランス権限による最大罰金:37億ユーロ
 

Instagram

Facebook)

 ベルギー
DPA		 13億ユーロ
(約1623億円)		   個人情報に関する同意の強要がされているとして、GDPR第7条(4)違反でGDPR施行翌日にnoybにより訴えられる。
※ベルギー権限による最大罰金:13億ユーロ
  WhatsApp ドイツ
(HmbBfDI)		 13億ユーロ
(約1623億円)		   個人情報に関する同意の強要がされているとして、GDPR第7条(4)違反でGDPR施行翌日にnoybにより訴えられる。
ハンブルグ権限による最大罰金:13億ユーロ
  Facebook オーストリア
(DSB)		 13億ユーロ
(約1623億円)		   個人情報に関する同意の強要がされているとして、GDPR第7条(4)違反でGDPR施行翌日にnoybにより訴えられる。
オーストリア権限による最大罰金:13億ユーロ

 

今の所と言えば良いのでしょうか、Googleも全世界売上で試算すると数千億円が最大罰金となりえてしまうのですが、そこまでは罰金額が大きくは無い様です。どうやら各国当局の裁量には、最大罰金の上限がある様です。それでも62億円と考えると、かなり罰金は大きいのですが、

それ以外の某病院(罰金:約5000万円)やチャットプラットフォームの Knuddels(罰金:約250万円)は、必ずしも2000万ユーロ=約25億円・・・から考えると、最大罰金は最大として定義されているものの、実際に課される罰金は、セキュリティ状況やその後の対応などの事情を考慮して判断される様です。

 

ただ、どこを判断されて罰金が決められるかについては、その判断基準がまったく分かりません。そうした意味ではGDPRの対象となる個人情報を保有する企業は、自社のセキュリティ体制をしっかり構築して、違反しない様にするしかないようです。

 

今回調査して思ったのですが、残念ながら日本で定期的にGDPR違反を追いかけて(公開している)いる人は少ない様です。正直、日本語ページがほとんどヒットしません。

 

今後も継続的にGDPR違反の情報を追いかけてみようかと思います。

 

 

参考:noyb関連の記事

www.itmedia.co.jp

 

参考:GDPR適用の初事例?(ポルトガルの某病院の記事)

www.insideprivacy.com

 

参考:GDPR適用のドイツ初事例(ソーシャルメディアのKnuddels)

www.welivesecurity.com

 

å®ãããå人æå ±ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月27日PM(予約投稿)

宅ふぁいる便もAWSを攻められた

考えてみた。 不正アクセス事件

宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。

www.itmedia.co.jp

 

■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 

 

1.漏洩したお客さま情報
(1)内容
宅ふぁいる便」のお客さま情報
メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ) 

(2)件数
 約480万件 

2.経緯、原因
・1月22日11時、当社が認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員およびパートナー企業に確認。
・1月22日13時、社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始。
・1月22日19時、宅ふぁいる便」サーバー内に不審なアクセスログを確認。
・1月23日10時50分、情報漏洩などの被害防止のため「宅ふぁいる便」のサービスを停止。
・1月24日20時、当社ウェブサイトにて「『宅ふぁいる便』サービスの一時停止に関するお知らせとお詫び(第一報)」を掲載。
・1月25日15時30分、お客さま情報の漏洩を確認。 

(公式発表より引用)

 

◆キタきつねの所感

公式発表を見ると、、「2.経緯、原因」とあるのですが、原因が書いてません

調査中につき脆弱性の特定までは至ってないのかも知れませんが、第2報なのに推定される不正アクセスの原因が特定できてないのだとすると、運営会社であるオージス総研は、情報システム会社としてのインシデント対応(体制)に問題がある気がします。

 

宅ふぁいる便は(私も漏洩対象ユーザの1名の様ですが)、1999年にサービスを開始した、多くのユーザが使っている(使った経験がある)国内のファイル転送サービスの草分け的な存在です。年間7000万件の利用は国内でもトップクラスではないでしょうか。

 

オージス総研によると、「宅ふぁいる便」は1999年に提供開始、現在は無料の約330万会員、有料の約2万会員が利用する。電子メールへの添付では送りづらい大容量のファイルを、専用ページを利用し、相手に転送することができる仕組み。

産経新聞記事より引用)


現在の無料会員は約330万件で、漏洩した可能性がある最大件数が、約480万件。差分が150万件あると言う事は、現在利用してない過去の会員データまで漏洩しているという事になります。(つまり私の過去の利用で登録したデータも漏洩対象と考えられます)

※過去の会員データまで保有しておく必要性、、果たしてあったのでしょうか?

 

容量ファイル転送サービス「宅ふぁいる便」で一部サーバーが不正アクセスを受け、全登録ユーザー数に相当する480万件の顧客情報が流出したと発表した。ログインに必要な利用者のメールアドレスやパスワード、生年月日などの情報が漏洩した。

同日午後7時からの大阪市内での会見で明らかにした。オージス総研は22日に認識していないファイルがサーバー内にあることを確認。調査を進めたところ不正アクセスと判断し、23日にサービスを停止した。国外からのアクセスの可能性が高いという。会見したオージス総研の小田垣正美常務執行役員は「原因特定を最優先としたい脆弱性をカバーして復旧する」と述べ、再開時期は未定とした。

日経新聞記事より引用)

 

 

基幹(会員DB?)サーバが侵害を受ける、というのは結構深刻な被害だと思います。

 

オージス総研は大阪ガスの情報システム子会社ですが、オージス総研のHPには「情報漏洩のリスク」について、まさにブーメランの様な宣伝文句が掲載されています。

f:id:foxcafelate:20190126164525j:plain

 

 

企業向けの「オフィス宅ふぁいる便」は被害を受けなかった様ですが、無料の宅ふぁいる便だけでなく、宅ふぁいる便ビジネスプラス」も影響を受けたと発表されていますので、

f:id:foxcafelate:20190126165614j:plain

 

(オフィス宅ふぁいる便の宣伝ではありますが、被害を受けたサービスは)、高セキュリティ環境や情報漏えい対策を完備、という部分について、どんな運営・監視体制だったのかなと考えてしまいます。

 

 

調べてみると、被害を受けなかった「オフィス宅ふぁいる便」のインフラセキュリティの説明を見ると、一般的なセキュリティ対策は打たれている様でしたので、被害を受けたサービスとの差は何だったのか?と考えてしまいます。

f:id:foxcafelate:20190126165957j:plain

 

「オフィス宅ふぁいる便は・・・大阪ガスも使っているであろう堅牢なデータセンターで運用されている様です・・・この手のデータセンターで運営していて情報漏えいが発生するとは思えませんが、、、

f:id:foxcafelate:20190126170707j:plain

 

ここまで調べてきて、オージス総研の紹介ページを見ても、宅ふぁいる便」がどこで運用されいるかが分かりません

 

関連ニュース記事をよく見てみると、「オフィス宅ふぁいる便」と「宅ふぁいる便」が別運用されている事が分かりました。

宅ふぁいる便」で送られたデータの漏洩については調査中。また、企業・法人向けの「オフィス宅ふぁいる便」は別のシステムで運用しているため、被害はないという。

毎日新聞記事より引用)

 

更に、調べてみると「宅ふぁいる便」は、AWSを使っている事が分かりました。Googleで「宅ふぁいる便 x AWS」で調べてみると、こんな検索結果が出てきます。

f:id:foxcafelate:20190126172613j:plain

 

ですが、、、紹介ページが・・・消されています

 

f:id:foxcafelate:20190126172725j:plain

 

 

Googleのキャッシュは残っていたので、しつこくみてみますと・・・

 

f:id:foxcafelate:20190126172918j:plain

 

 

宅ふぁいる便AWS移行は、コスト削減が主な目的だった様です。併せてセキュリティ強化を実現した、となっていますが、ページを消した理由は、この辺りにありそうです。

 

概要

無料の大容量ファイル転送サービス宅ふぁいる便」は、サービス基盤としてアマゾンウェブサービス(以下AWS)を採用。データセンターとAWSのハイブリッドクラウド環境での利用から開始し、順次AWSを拡張、全面移行しました。クラウド上のリソースを使うことで急なリソース不足に柔軟に拡張対応可能。ログの可視化や不正アラート通知、日次レポートなどを実施することでクラウド利用のセキュリティ強化も実現しました。

 導入時の検討ポイント

<なぜパブリッククラウド?>
利用状況のピークを見越しつつ、将来的に増加するユーザも考慮すると、オンプレミスでの構築では余裕を持ったシステム構成となり初期費用がかかりすぎるという課題がありました。

そこで、初期費用が安価なパブリッククラウド環境への移行を検討することにしました。パブリッククラウドとしては、社内において実績があるAWSを採用しました。はじめから全面移行はせず、ピーク部分だけをAWSに拡張させるハイブリッドクラウド環境で利用を開始しました。様子を見ながら機能単位で複数のパーツに分けて解放することで、トラブルのリスクを下げつつAWSへ移行しました。

Googleキャッシュの「宅ふぁいる便パブリッククラウドへ全面移行 AWS基盤構築事例ページから引用)

 

 

オージス総研は、自社のみならず他社のAWS導入支援も行っている様ですので、、その影響を考慮したのかも知れません。

f:id:foxcafelate:20190126174106j:plain

f:id:foxcafelate:20190126174221j:plain

基幹(会員DB)システムに不正侵入されてしまった原因(脆弱性)によっては、他社支援をしている場合ではなくなる可能性もありそうですし、コンサルとしての信頼問題にも影響するかも知れません。

 

まだ原因が分からない中で、推測を多分に含みますが、AWSのS3経由の意図しない情報漏えい事件の様な、AWSへのシステム実装ミスの可能性もありそうかな、、、と思います。

 

 

参考:

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

 

è·ç©ãæããééå¡ã®ã¤ã©ã¹ã

更新履歴

  • 2019年1月26日PM(予約投稿)

 

セキュリティ啓蒙には安全・安心ハンドブック

つぶやいてみた。

NISCが「インターネットの安全・安心ハンドブック」を改訂リリースしました。www.nisc.go.jp

 

f:id:foxcafelate:20190120122725j:plain

 

◆キタきつねの所感

黄色い表紙に見覚えがあるなと思ったら、昨年版はネットワークビギナーのための情報セキュリティハンドブック」として出されてました。内容がよくまとまっている資料なので、色々な点で参考になる資料だと思います。PDFはすぐダウンロードできますが、スマホ版も追ってリリースされるようですので、特にセキュリティ啓蒙教育・・・お金をかけずに実施するなら、まずはこれを読め!としてしまうのも、良い手かも知れません。

難点は、、分量が多いので飽きてしまう人も相当数でるであろう点、つまり本当に読んだか分からない(テスト等で検証できない)事と、全方向に向いている教材なので、企業特有な部分、あるいはこの内容だけでは足りない(中上級者?)部分をどうステップアップさせていくかが見えない所かなと思いますが、セキュリティ啓蒙(Awareness)としては非常に優れていますし、何より無料ですので、非常に使える資料だと思います。

 

去年の内容がうろ覚えなので、少し怪しいのですが、最新事例の他、パスワード関連が強化されていた(説明ページが多い)印象です。逆に言えば、未だにパスワード問題(使いまわし・流出)が多いとNISCが考えている事の裏返しなのかも知れません。

 

 

ãå®å¿ã»å®å¨ãã®ãã¼ã¯

更新履歴

  • 2019年1月20日AM(予約投稿)