質問

2011年05月16日 17時39分
  • sonyの

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

sonyの顧客情報流出を防ぐには、何をしておけばよかったのでしょうか?

3件の回答があります

回答

お疲れ様です。

本件は、影響の大きな事件ですね。
はっきりとした原因を私は理解していませんが、アプリケーションサーバーソフトの脆弱性に対応していなかったのが原因と一部で報じられていますね。

この条件から話をすれば、単純に脆弱性回避のパッチを常に適用して、セキュリティーホールを極限まで少ない状況にしておくというのが、原理原則の答えとなるように思います。

この脆弱性がどのような内容だったのかがわかりませんが、全面にIPSを設置していたとのことなので、通常であればシグネチャパターンに当てはまり、IPSでブロックできると思うのですが、IPS側もパターン情報が最新では無かったのかも知れせん。
または、UTM等のIPSとしては若干力不足な機器を利用していたのであれば、全般的に多い攻撃パターンにしか対応できないケースが多いので、そこで漏れたと言うことも考えられます。

・F/Wによるポート制御
・IPSによる、不正通信の防御
・WAFによる不正WEBリクエストの排除
・DBの暗号化
・OS、サーバーアプリケーションの脆弱性回避パッチ適用の遂行

とここまでやればと思いますが、上記はやはり保険と言えば保険の分類であり絶対・確実ではないと思います。

ただ、上記ぐらいきちんとしておけば、通常は大丈夫ではないかと思います...。

SONYのように、特定の団体から攻撃の標的にされてしまうと、やはり難しい物があります...。

2011年05月17日 00時45分

回答

質問の答えのヒントが書かれている記事がありましたので、紹介します。
セキュリティの専門家では無い私には、なるほどなぁと思う事しか出来ません。

2011年05月20日 13時23分

回答

まぁ普通のことはやっていたと思うのでしょうが...。細かい実態は判りませんが、ひょっとすると  「そんな金のかかる対策なんかはしなくていい」と言った輩が居たかも知れません。 同様に「そんな1000年に1回あるかないかの高さの津波に耐えるような対策なんかやったら金がいくらあっても足りない。 そこまでしなくていい」と言った輩も居ると思います。

多分、あなたの会社でも「そんな対策をしたら経費がかかってしまうからやめよ」と言った上司が居るでしょう。 その人を責められますか? 難しい問題ですよね。 すべては結果論ですから。

2011年05月21日 15時10分