PR

 マカフィーは2011年6月2日、ソニー・コンピュータエンタテインメント(SCE)のネットワークゲームサービス「PlayStation Network(PSN)」から個人情報が流出した事案について緊急記者説明会を開催した。この背景にある情報セキュリティの課題と、同様の被害を防ぐために有効な対策について解説した。

 同年4月19日に発生した今回の事案では、サイバー攻撃によってPSNと音楽配信サービス「Qriocity」からユーザーのオンラインIDや購入履歴、請求先住所、パスワード再設定用の質問に対する回答などが流出した。ソニーの発表によると、侵入者はアプリケーションサーバーのぜい弱性を突いて不正なプログラムを埋め込み、外部からの進入経路を確立。アプリケーションサーバーの管理者権限を乗っ取り、ユーザー情報を管理するデータベースに不正アクセスしたという。

 マカフィー エンタープライズ営業本部 プロフェッショナルサービス シニアスペシャリストの兜森清忠氏は、情報セキュリティの組織体制、および不正侵入の監視体制に問題があったと指摘する。

 まず、組織体制の問題として、情報セキュリティを統括する責任者が不在だったことを挙げた。「ソニーは今回の事案を受けて最高情報セキュリティ責任者(CISO)を設置すると発表したが、これまでCISOが不在だったことは問題だ」(兜森氏)。ソニーは、サイバー攻撃に利用されたアプリケーションサーバーのぜい弱性は既知のものであったことを認めている。CISOの統括のもと、パッチ適用などの当たり前のセキュリティ・マネジメント・サイクルが機能していたら、今回の不正侵入は防御できた可能性がある。

 次に、不正侵入の監視体制の問題に言及した。今回の不正侵入は、監視ではなくサーバーが突然リブートしたことで検知された。「外部からの不正侵入に対する検知システムが技術的あるいは人的リソースの問題で機能していなかった」(兜森氏)。今回の教訓は、不正侵入検知システムのアラートを待つだけの監視体制では不十分だということだ。マカフィーは、不正侵入の早期発見のためには、サーバーやネットワークに不正アクセスの痕跡がないかどうか定期的な調査を実施することが有効だとしている。