急増するサイバー攻撃。その対象は、大企業や官公庁に止まらず、中小企業や場合によっては個人のサイトまで対象が広がっている。もはや対岸の火事ではなく、いつ我が身に降り掛かってきても不思議ではないのが現状である。
ITへの依存度が高まっている現代では、サイバー攻撃によってビジネスそのものが停止してしまい、企業の存続に関わる事態にも発展しかねない。万が一に備え、セキュリティの強化はもちろんのこと、攻撃を受けた場合の対処も想定しておく必要があるだろう。
2013年11月26日(火)、大阪のマイナビルームにて『困惑気味のインフラ管理者に贈る! ネットワーク次世代技術 総覧セミナー』が開催される。本稿では、この基調講演に登場するヤフー ID本部長 楠 正憲氏に、5月の事件を振り返ってもらいながらそこで得た教訓について伺った。
楠氏が登壇する「ネットワーク次世代技術総覧セミナー」(11月26日(火) 大阪)の参加申し込みはこちらから(参加費無料) もれなく参加者全員にQUOカード500円分贈呈。 |
セキュリティ事件では"想定外"が頻発
2013年5月、ヤフーは不正アクセスにより、「Yahoo! JAPAN」のユーザー名(ID)最大2,200万件について、外部に流出した可能性があると発表した。対象IDのうち148万6千件は暗号化済みパスワードとパスワード再設定用の「秘密の質問」も流出した可能性があるという。
事態の発覚後、同社は至急に原因の究明とセキュリティの強化に着手。ユーザーに対してもパスワードの変更を促すための告知を行った。
楠氏は当時を振り返り、「ユーザー対応には本当に神経を遣った」とコメントする。
同社が保有するユーザーIDは約2億(2012年12月末時点)にものぼる。これらのユーザーへIDやパスワードの変更を促すことになるが、当然ながら、数百万ユーザーによる一斉変更はインフラ設計の想定外。しかし、ハードウェアの増設を待つ時間的余裕がなかった。
そこでYahoo! JAPANでは、漏洩したIDかどうかの確認ページを設置し、サーバーの増強に応じて段階的に誘導を目立たせるようにするなど、人の手による細かな対応によって乗り切ったという。
当時の対応に関して楠氏は「経験しなければわからないことが非常に多かった」とコメントする。
「システム運用経験者ならわかると思うが、セキュリティに対して真剣に取り組んでいる企業でも、例えば、前述の一斉パスワード変更などを事前に想定するのは難しい。当社もセキュリティ設計にシビアな企業ではあるが、大きな攻撃を受けて初めてわかったことがたくさんあった」(楠氏)
すべての攻撃を防ぎきるのはほぼ不可能、いかにして素早く攻撃を検知し、いかにして被害を食い止めるか――最近のセキュリティ業界では、そういった考え方の下に対策を施す方向に進んでいる。
では、そのために企業が意識しておくべきことは何なのか、どういった運用体制でどういったオペレーションをとるべきなのか。11月26日の楠氏の講演では、Yahoo! JAPANの経験を元にしたヒントが提示される予定である。都合のつく方はぜひとも参加してほしい。