« ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補 | Main | U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。 »

2021.05.27

事故前提の対応ができていたのかな? ビジネス基幹システムへの侵入

こんにちは、丸山満彦です。

富士通のシステム開発等のプロジェクト管理のためのクライアントとの情報基盤が何者かに侵入され、その情報基盤に保管されていた情報が搾取された疑いがあるという報道がされておりますね。。。システム開発を行なっている会社にとってはまさにビジネス基幹システムで、このシステムが停止することにより(代替策がとられているとしても)、ビジネスにも企業経営にも多大な影響が生じていると思います。また、委託していた組織にとっても重要なプロジェクトであった可能性もあり、その影響は小さくはないと思います。

2021年5月27日午前6時現在では、5月25日の発表以上の情報がありませんので、どのような脆弱性をつかれて侵入を許してしまったかは不明ですが、長年使われているシステムであり、それなりの対策はとられていたと思います。

① それでも侵入を許してしまう

のだ、ということと、それであれば

② ビジネス上の重要なシステムに侵入を許してしまった場合の対応についての予めの対応をしておくことが重要

なのだなぁと改めて思いました。

改めて思ったというのは、私も関与していたのですが、2003年10月10日に経済産業省の産業構造審議会情報セキュリティ部会、情報セキュリティ総合戦略策定研究会(委員長代理は山口英先生)が公表した[PDF] 「情報セキュリティ総合戦略 世界最高水準の「高信頼性社会」実現による経済・文化国家日本の競争力強化と総合的な安全保障向上」を作成する際にすでに議論した内容だからです。。。当時の研究会を推進した経済産業省の山崎琢也当時課長補佐(現在、JETROブリュッセル事務所)と山口先生の先見の明には驚かされます。。。ちなみに、この報告書がきっかけにして現在のNISCが誕生するわけです。。。

皮肉にもそのNISCが今回の被害者にもなっていて、事故前提の対応ができていたのかは気になるところではあります。。。個人的には事故想定という方が適切なような気はしています。。。

しかし、今後クラウド事業者の寡占化が進んでいくことを考えると、その根っこに侵入されることによる社会的な影響は大きいので、少し前にこのブログに載せましたが、

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.17 クラウドは竹 クラウド集中リスク

は意識しておく必要があるかもですね。。。

11_20210217103601

 


● 富士通

・2021.05.25 プロジェクト情報共有ツールへの不正アクセスについて [copied text]

● 内閣官房 - NISC

・2021.05.26 [PDF] 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について

・2021.05.25 [PDF] プロジェクト情報共有ツールに対する不正アクセス対策の確認に関する政府機関等及び重要インフラ事業者等への注意喚起の発出について

● 国土交通省

・2021.05.26 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる国土交通省関係情報の流出について [PDF][Downloaded]


 

Piyolog

 富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた


 

ProjectWeb関係

● 富士通 機関紙 Fujitsu

・2011.03 [PDF] Vol.63 (2) [PDF] ワークスタイルを支えるナレッジベース

・2009.11 [PDF] Vol.60 (6) [PDF] SEのビジネス基盤を目指すProjectWEBの新たな取組み [Downloaded]


 

まるちゃんの情報セキュリティ気まぐれ日記で、「事故前提」の記載がある記事

● まるちゃんの情報セキュリティ気まぐれ日記

・2011.08.30 内閣府 個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~

・2009.06.26 セキュアジャパン2009 事故前提。。。

・2009.05.09 内閣官房 パブコメ 「セキュア・ジャパン2009」(案)

・2008.12.11 内閣官房 パブコメ 「第2次情報セキュリティ基本計画」(案)

・2008.07.28 NISC 第8回基本計画検討委員会の資料

 

1_20210527061601

 

|

« ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補 | Main | U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補 | Main | U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。 »