著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、3件のトピックを取り上げる。情報処理推進機構(IPA)が公開したSaaSに関するセキュリティー事故の調査報告書、NIPPON EXPRESSホールディングス海外現地法人の不正アクセス被害、岡山県医師会のWebサーバーからのメールアドレス流出である。
公開情報による調査とインタビュー調査を実施
IPAは2022年3月30日、「クラウドサービスのサプライチェーンリスクマネジメント調査」の調査報告書を公開した。コロナ禍の感染防止対策や働き方改革の一つとして導入されたテレワークにおいてクラウドサービスが必須だとして、調査はクラウドサービスの中で特にSaaS利用の脅威やリスク、今後の課題などを明らかにするために実施された。
報告書はインシデント(事故)や脆弱性に関する公開情報を整理・考察した結果と、インタビュー調査の内容で構成される。インシデントや脆弱性は、2020年4月から2021年9月末までに公表された事例69件が対象。このうち、3件のインシデントについては攻撃の流れや発生原因などが分かる概要図が作成された。対象となったのは、マッチングアプリサービス「Omiai」への不正アクセス、テストカバレッジツール「Codecov」のスクリプト改ざん、そして米SolarWinds(ソーラーウインズ)のネットワーク管理・監視製品「Orion Platform」からの情報漏洩の3件。
一方、インタビュー調査はSaaS利用時の課題について、SaaS事業者やクラウドサービスのセキュリティー対策に関するイベントを実施している組織など13人に対して行われた。IPAとして「開発時のセキュリティー検討が十分でない」といった課題を想定していたが、この課題についてはおおむね支持されず、「セキュリティーに割くリソースの不足」「継続的なリリースの中で機能の複雑化に対応できず検討が不十分になる可能性」なとが指摘されたとしている。
(情報処理推進機構の発表資料)
