« MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25) | Main | 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19) »

2022.04.30

富士通 プロジェクト情報共有ツールへの不正アクセスについて

こんにちは、丸山満彦です。

富士通のプロジェクト情報共有ツールの不正アクセスについての発表が第六報になってますね。。。ほぼ一年になるので、、、

 

富士通

・2022.04.22 プロジェクト情報共有ツールへの不正アクセスについて(第六報)

 ・[PDF] 検証委員会からご指摘頂いた事項  [downloaded]

20220429-144714

・2022.03.07 プロジェクト情報共有ツールへの不正アクセスについて(第五報)

・2021.12.09 プロジェクト情報共有ツールへの不正アクセスについて(第四報)

・2021.09.24 プロジェクト情報共有ツールへの不正アクセスについて(第三報)

・2021.08.11 プロジェクト情報共有ツールへの不正アクセスについて(第二報)

・2021.05.25 プロジェクト情報共有ツールへの不正アクセスについて

 


検証委員会からご指摘頂いた事項

1.不正アクセス事案および発覚後の対応が遅れたことに関する原因分析

  不正アクセス事案に対する原因として、情報保護の体制が不十分であったこと、ProjectWEB に対する人員・予算の制約等からセキュリティの強化・管理に手が回らなかったこと、不正アクセスを直ちに検知する体制が整っていなかったこと、各テナントの管理に係る事項の多くがテナント管理者に委ねられていたこと、のご指摘を頂きました。

また、発覚後の対応の遅れの原因として、個別プロジェクトのインシデントとの前提で対応していたこと、属人的運用やログ管理不適切によりProjectWEB の構造の把握に時間を要したこと、ProjectWEB のシステムの性質につき共通認識が乏しく被害可能性のある情報の重要性・業務影響の想定が困難だったこと、セキュリティインシデントに対応する体制が効果的に機能しなかったこと、セキュリティインシデントにおける迅 な対応を阻害する風土や準備不足があったこと、顧客先等への対応姿勢が適切でなかったこと、が指摘されています。

こうした事態を招いた真因の分析として、ProjectWEB が当初想定されていたよりも幅広い環境や目的でなし崩し的に利用され、ProjectWEB の性質や利用状況に沿った取扱いがなされていなかったこと、富士通の組織体制が縦割りの傾向にあり、それを反映して社内システムの管理が全社一元的あるいは中央集権的になされていなかったこと、業務上の利便性やコスト削減の意識から情報管理やセキュリティが優先されない場合があったこと、インシデント対応において主体的に先手を打とうとする姿勢が十分でなかったこと、のご指摘を頂きました。

2.検証委員会による再発防止の提言

  以上の原因分析での指摘事項および富士通における再発防止策の検討・実施状況を踏まえ、報告書では、  以下の再発防止策の提言を頂きました。

(1)社内IT システム等におけるセキュリティの充実
(2)不正アクセスや脆弱性を直ちに検知し、即座に対応する組織の整備
(3)社内IT システムの一元管理及び各システムの位置付けの明確化
(4)セキュリティ意識の全社への貫徹に向けた教育・意識付けの徹底
(5)関係当局とのコミュニケーションの充実等
(6)情報管理やセキュリティを業務上の利便性やコスト削減に劣後させない風土醸成
(7)インシデント発生時における社内外への情報伝達の改善
(8)その他富士通において更に検討すべき事項(風土改善等)

以 上

 


参考情報

piyolog

東京オリンピックのサイバー関連の出来事についてまとめてみた

富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた

 

 

・2022.04.22 プロジェクト情報共有ツールへの不正アクセスについて(第六報)


2022年4月22日
富士通株式会社

プロジェクト情報共有ツールへの不正アクセスについて(第六報)

当社プロジェクト情報共有ツール「ProjectWEB」への不正アクセス(以下、本事案)に関連し、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をおかけしておりますことをあらためて深くお詫び申し上げます。

当社は本年3月28日、本事案に関する調査・検証報告書を検証委員会より受領いたしました。その中で、検証委員会が認定した事実関係に基づき、別紙のとおり原因の分析と再発防止策の提言を頂きました。

当社は2021年10月1日付にて専任のCISOを任命し、新たな情報セキュリティ体制の下で再発防止策を策定・実行してまいりました。さらに2022年4月1日付にてCISO権限規定を改版し、CISOのスコープ拡大と権限をより明確化することで情報セキュリティ施策を全社で統制をとって推進しております。今般、検証委員会から頂いた提言に基づき、またそれにとどまらず、これまで着手済みの対策を含め、以下の対策の確実なる実施をもって再発防止に努めてまいります。提言の中でご指摘頂いた風土改善については本事案の根幹にある課題として重く受け止め、一日も早く、本事案により失ったお客様や関係者の皆様からの信頼を取り戻すことを目指して、全社が一丸となり抜本的かつ永続的に取り組んでまいります。

  1. セキュリティ対策強化と管理・監督の徹底
    当社のセキュリティ方針に基づいて提供する情報システムのセキュリティフレームワークの標準化、多要素認証の実装や情報管理の厳格化等の適正利用の施策を実施するとともに、CISO直轄組織による現物を含めた監査、監視、是正管理により、平時からのセキュリティマネジメントを強化。

  2. セキュリティインシデント対応の強化
    CISO主導でのインシデント対応のプロセスの整備、平時からの訓練によるインシデント対応の迅速化、セキュリティ対策の適正性の継続的な検証等により、大規模インシデント発生時の緊急対応体制を確立。

  3. 社内ITシステムの一元管理と各プロジェクト部門の自律的な是正促進
    ITシステム資産、情報管理の一元化と可視化により、平時からのリスク管理を強化するとともに、CISO直轄組織による情報監査、リスク監査結果を見える化し、各プロジェクト部門における適切な現状把握と自律的な是正を促進。

  4. 全社のセキュリティ意識徹底とリテラシー向上に向けた教育、制度の見直し
    従来から定期的に実施している全社教育の強化に加え、CISO通達など定期的な社内への情報発信により社員への啓発と意識徹底を行うとともに、これまで「個のセキュリティスキルを発掘・認定」するセキュリティマイスター認定制度を「組織全体のサイバーセキュリティ対応力を強化」する制度へ変革し、組織のセキュリティリテラシーを向上。

  5. 対外コミュニケーションの改善
    「お客様を守ること」を目的として、適切なタイムラインとステークホルダー毎に求められる情報開示レベルを意識し、対外公表方針を策定するとともに、平時からの訓練によりプロセスを成熟化。

本事案における調査の過程で、お客様情報が適切に管理されていなかったことが確認されたため、2021年9月に関係役員に対して処分を行うとともに、全社における情報管理の強化施策等の措置を講じ、再発防止に万全を期すことといたしました。本事案については、多くのお客様や関係当局の皆様に多大なるご心配、ご迷惑をおかけしたことをあらためて重く受け止めております。当社として今後本事案から得られた教訓等に基づき、お客様や関係当局等のステークホルダーの皆様方に対しまして、きめ細かく、かつ、丁寧なコミュニケーションを図りつつ、全社を挙げて再発防止に取り組んでまいります。これらのことを踏まえ、代表取締役社長 時田隆仁、代表取締役副社長 古田英範より報酬の自主返上の申し出があったため、この両名について、月額報酬10%、1か月の自主返上を行うことといたしました。

当社といたしましては、情報セキュリティが当社事業に不可欠な構成要素であることに鑑み、グループ全体の情報セキュリティを確保しながら、製品およびサービスを通じてお客様の情報セキュリティの確保・向上に積極的に努めることにより、当社のパーパスである「イノベーションによって社会に信頼をもたらし、世界をより持続可能にしていくこと」を実現してまいります。

取締役会からのコメント

当社取締役会は、本事案が当社のお客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることに鑑み、社内的な検証だけではなく、外部の客観的な視点による公正な検証が必要であると判断したため第三者で構成される検証委員会を設置し、今般、客観的かつ大変貴重なご指摘を含む調査・検証報告書を受領いたしました。

当社取締役会は検証結果を真摯に受け止め、不正アクセス等の情報セキュリティインシデントを発生させないための施策実行、および万が一インシデントが発生した際にステークホルダーの皆様に及ぼす影響を極小化するための体制・プロセスの見直しを可及的速やかに策定し、あわせて、検証委員会が指摘する風土改革に取り組むよう執行側に指示するとともに、その実効性を適切にモニタリングしてまいる所存です。

別紙

以上

関連リンク


 

・2022.03.07 プロジェクト情報共有ツールへの不正アクセスについて(第五報)


2022年3月7日
富士通株式会社

プロジェクト情報共有ツールへの不正アクセスについて(第五報)

当社は、新たな情報セキュリティ体制の下で再発防止策の策定、情報管理の強化施策を継続しております。今般、外部からの協力等によって、過日お知らせいたしました当社プロジェクト情報共有ツール「ProjectWEB」への不正アクセスについて、新たな事実が判明いたしましたのでお知らせいたします。

これまで、当社プロジェクト情報共有ツール「ProjectWEB」への不正アクセスによる被害のあったお客様の数は129とお伝えしてまいりましたが、今般その数が142となったことが判明いたしました。対象となったお客様に対しては、個別にご報告を行うとともに、必要な対応を進めております。

関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますことをあらためて深くお詫び申し上げます。

現在も本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。当社といたしましては、検証委員会の検証結果等も踏まえて、改めてしかるべき時期に本事案に関する総括を行います。なお、CISO主導で昨年より継続的に実施しているシステム環境の点検の中で、あらたな事実が判明した場合には、適宜公表いたします。

以上

関連リンク


 

・2021.12.09 プロジェクト情報共有ツールへの不正アクセスについて(第四報)


2021年12月9日
富士通株式会社

プロジェクト情報共有ツールへの不正アクセスについて(第四報)

当社プロジェクト情報共有ツールProjectWEBへの不正アクセス(以下、本事案)および、ProjectWEBを停止したことにより、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をお掛けし、また、本事案の調査過程において被害範囲の把握に時間がかかり、それを踏まえた対策の実施に時間を要していることを、深くお詫び申しあげます。

当社では、本事案の調査において判明した「不正アクセス防止対策」、「ログの収集、管理方法」、「情報管理」等の問題を受け、本年10月1日付にて専任のCISOを任命し、新たな情報セキュリティ体制の下で再発防止策を策定しております。今般、当社が検討を進めておりました、ゼロトラストに沿った情報セキュリティ対策が実装される等、本事案の課題も踏まえた新たなプロジェクト情報共有ツール(以下、新ツール)の導入の準備が整いましたので、当社は新ツールへ移行することを決定いたしました。これに伴い、今般、ProjectWEBの利用終了を判断いたしましたのでお知らせいたします。

なお、本事案の原因に関しては、脆弱性を悪用した侵入、運用管理者や一般利用者の端末のマルウェア感染等、これまであらゆる可能性を考慮して調査を実施し、当社内においてはその調査は既に完了しております。その結果、ProjectWEBに数種類の脆弱性が存在していたことが確認されており、悪用された脆弱性の特定には至りませんでしたが、第三者がそのいずれかを用いるなどして、正規のIDとパスワードを窃取し、これを使用することで正常認証および正常通信と見える形で、ProjectWEBに対して外部から不正アクセスを行ったものであると判断しております。

現在、本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。当社といたしましては、検証委員会の検証結果や内閣サイバーセキュリティセンター様等のご助言も踏まえて、改めてしかるべき時期に本事案に関する総括を行うとともに、新ツールについても今後の検証結果に基づくご指摘事項への対応と技術や脅威動向の変化に応じた必要なセキュリティ対策向上を図ってまいります。

1.新ツールについて

当社ではリモート開発が中心となった現在においても、お客様のニーズに合わせた価値をタイムリーに導入するためにサービスデリバリーの変革を進めております。その一環として、プロジェクト運営の効率化とセキュアな情報交換を両立させるための開発基盤である新ツールの運用を開始し、安心安全なプロジェクト運営を実現いたします。

(1)基本機能について

ドキュメント管理機能(コンテンツ管理、ファイル共有、ファイル検索等)、コミュニケーション機能(チャット等)、プロジェクトマネジメント機能(工程・タスク管理、品質管理、コスト管理等)等を基本機能といたします。なお、ドキュメント管理機能を先行導入し、来年度以降、コミュニケーション機能、プロジェクトマネジメント機能の導入等、機能拡充を図ってまいります。

(2)不正アクセスに対するセキュリティ対策

ProjectWEBには多要素認証が採用されておらず、また、不正アクセスを早期に検知する仕組みも十分ではありませんでした。これを踏まえ、新ツールでは多要素認証を用いた認証強化による不正ログインの防止を行うとともに、複数のログの収集・管理も一元的に行うことで不正アクセスが疑われる不審な挙動を監視する等不正アクセスの早期発見を可能としています。また、ログの一元管理により、不正アクセスを受けた際の原因究明や影響範囲調査への対処もより迅速になると考えております。なお、これらの機能にとどまらず、技術や脅威動向の変化に応じた必要なセキュリティ対策の見直し・向上を図ってまいります。

(3)新ツールへのデータ移行時の情報管理強化施策

新ツールへの移行にあたっては、移行データの暗号化、秘密度に応じたアクセス制御、移行対象データの選定等を実施することで、現在運用停止中のProjectWEBに保存しているお客様情報を安全に新ツールへ移行いたします。

(4)今後の対応について

ProjectWEBで利用していた機能をお客様が必要とされる場合は、新ツールを選定いただくことも可能です。その際には個別にご相談をさせていただきます。

2.再発防止に向けた全社における情報管理の強化施策について

本事案における調査の過程で、あるプロジェクトに関するデータが別のプロジェクトのデータ領域に保存されていた事例や、プロジェクト終了後も当該プロジェクトに関するデータが長期間保存されていた事例等が確認されております。これを踏まえ、CISO直轄組織にて改めて現状の情報管理の在り方も含めて見直しを行い、従来の情報管理施策に加えて、新たな全社施策を追加いたします。

(1)運用管理の厳格化

従来実施していた年次点検では各プロジェクト部門が自主点検を実施し、その結果を第三者視点にて確認をする方法をとっておりましたが、今般、これに加えて、他社秘密情報や個人情報を保有しているプロジェクトの一部において、CISO直轄組織がサンプリングによる現物確認を実施し情報管理を強化いたします。

(2)部門ルールの社内確認の強化

従来は、情報管理規程等の社内規程を踏まえ各プロジェクト部門が部門内の情報管理ルールを策定しておりましたが、今般、これに加えて各部門が作成した部門ルールをCISO直轄組織が第三者視点にて確認および追加・見直しを指示することにより、契約に基づいたお客様情報の適正利用を徹底いたします。

(3)運用状況のモニタリング

従来は、各部門における情報管理の状況について年次点検のタイミングで自主点検をもとに把握・対処をしておりましたが、今般、各部門における情報管理の状況を可視化し、各部門からもモニタリングできる仕組みを導入することにより、問題の早期発見に努めてまいります。

(4)教育・周知の強化

更なる危機意識と情報管理に対する意識向上を図るべく、従来から定期的に実施している全社の情報管理教育にタイムリーかつ具体的な事例を盛り込み社内教育を強化いたします。また、定期的な社内への情報発信により、情報管理に対する啓発と周知徹底等を行います。

以上

関連リンク


 

・2021.09.24 プロジェクト情報共有ツールへの不正アクセスについて(第三報)


2021年9月24日
富士通株式会社

プロジェクト情報共有ツールへの不正アクセスについて(第三報)

当社プロジェクト情報共有ツール「ProjectWEB(以下、本ツール)」への不正アクセスについて、過日お知らせのとおり、本事案の発生以降、社長直轄の全社を挙げた体制を構築し、お客様はじめ関係者の皆様に対して個別にご報告を行うとともに必要な対策に全力で努めております。また、本事案を重く受け止め、関係当局へのご相談を進めるとともに、本事案の原因および当社の対応について、外部有識者による「検証委員会」を設置し客観的な視点での検証作業を進めております。

今般、早期の信頼回復を図るべく、本年10月1日付にて専任のCISOを任命し、情報管理のあり方も含めて新たな情報セキュリティ体制の中で再発防止に向けた取り組みに努めてまいります。

関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますことをあらためて深くお詫び申し上げます。

1. 情報セキュリティ体制の強化について

1. 専任のCISOおよびCISO補佐の任命について
  • 本年10月1日付で理事 太田 雅浩をCISO、理事 花山 亨をCISO補佐に任命。
  • 情報セキュリティリスク対応の専門性・特殊性に加え、現場の実態も踏まえた施策を実行。
2. 新たな情報セキュリティ管理・運用体制について
  • 情報管理のあり方に関してCISOによる社内関連部門の統率を強化し、全体をマネジメントする体制を再構築。
  • 情報セキュリティに関して各部門を統率するリソースをCISO直轄の組織に再配置。
  • CISOを中心とした経営幹部、対応要員の緊急招集スキームを改善し、大規模セキュリティインシデントにおける初動の迅速性を向上。
  • 関係機関との連携も含めて、社内セキュリティ体制を一元的に管理するCISO体制の強化。

2. 再発防止と更なるセキュリティ対策への取り組み

  • 「検証委員会」の検証作業と並行して、CISO主導で情報セキュリティリスクへの対応として、情報共有ツールの不正アクセス防止対策の強化と運用面での情報管理の強化を実施。
  • 運用監視の自動化等、人手に頼らない情報システムの構築といった更なるセキュリティ対策の向上。

以上

関連リンク


 

・2021.08.11 プロジェクト情報共有ツールへの不正アクセスについて(第二報)


更新日:2021年8月27日
掲載日:2021年8月11日
富士通株式会社

プロジェクト情報共有ツールへの不正アクセスについて(第二報)

過日お知らせいたしました当社プロジェクト情報共有ツール「ProjectWEB(以下、本ツール)」への不正アクセスについて、調査・分析の結果、現時点で判明している概要をお知らせいたします。

当社は、本年5月6日に本ツールを利用する一部プロジェクトにおいて、不正アクセスの可能性を認知し、調査を開始いたしました。

影響範囲および原因の調査・分析は、セキュリティに関する専門知識を有する当社技術者を集結させ、社長直轄の全社を挙げた体制を構築し対応に努めてまいりました。その結果、129のお客様に関して、本ツールに保存されていた情報の一部が不正に閲覧またはダウンロードされたことが判明しております。閲覧またはダウンロードされた情報は、お客様のシステムに関する情報(システムを構成する機器類に関する情報等)、プロジェクト運営に関する資料(体制図、打合せメモ、作業項目一覧、進捗管理表、社内事務手続きに関する資料等)、その他公開情報等であり、その一部にはお客様および関係者の氏名・メールアドレス等の個人情報が含まれていたことも確認されております。

本事案は、第三者が正規のIDとパスワードを使用し、正常認証および正常通信により、本ツールに対して外部から不正アクセスを行ったものであることが判明しております。正規のIDとパスワードを使用し正常認証および正常通信によりログインできた原因は、本ツールの何らかの脆弱性を悪用したものである可能性が高いと考えております。

対象のお客様に対しては、個別にご報告を行うとともに、必要な対策を実施しております。
関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますことをあらためて深くお詫び申し上げます。

当社では、本事案を重く受け止め、関係当局へのご相談を進めるとともに、早期の信頼回復を目指し、引き続きお客様対応に全力で努めてまいります。また、本事案の原因および当社の対応について、外部有識者による「検証委員会※」を設置し客観的な視点での検証作業を進め、これらの結果を踏まえ、実効的な再発防止策を講じてまいります。

以上

※検証委員会は、以下の委員にて構成されます。

・委員長    寺𦚰 一峰 氏 (鈴木諭法律事務所弁護士/元大阪高検検事長)
・委員    木目田 裕 氏 (西村あさひ法律事務所弁護士)
・委員    菊川 裕幸 氏 (元(一社)日本情報システム・ユーザー協会専務理事、現同協会主席研究員)

更新履歴

2021年8月27日更新: 検証委員会の委員の氏名を追記しました。

関連リンク


 

・2021.05.25 プロジェクト情報共有ツールへの不正アクセスについて


2021年5月25日
富士通株式会社

プロジェクト情報共有ツールへの不正アクセスについて

今般、当社がプロジェクト運営に際し社内外の関係者と情報を共有するためのツールである「ProjectWEB」を利用する一部プロジェクトに対して、第三者からの不正アクセスがあり、当該ツールに保存されているお客様からお預かりした情報の一部が不正に窃取されたことが判明いたしました。

本事案の関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますこと、深くお詫び申し上げます。

本事案の影響範囲および原因は現在調査中であり、更なる不正アクセスが発生しないよう「ProjectWEB」の運用を停止しております。
引き続き、「ProjectWEB」を利用する全てのプロジェクトにおいて、お客様にもご協力頂きながら、影響範囲および原因の調査・分析に努めてまいります。

当社では、本事案を重く受け止め、関係当局へのご相談を進めるとともに、被害に遭われたお客様の支援に全力で努めてまいります。

以上


 

 

|

« MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25) | Main | 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25) | Main | 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19) »