最終更新:2021年7月5日
投稿:2020年6月5日
5月末にこんなニュースがあった。
事件の概要
NTTコミュニケーションが提供するクラウドサービスに不正侵入があり、
621社の顧客情報を閲覧された可能性があるそうだ。
クラウドサービスといえばamazon提供のAWSを筆頭にマイクロソフトのAzure、
GoogleのGCP、オラクルのオラクルクラウドとITの有力ベンダがこぞって提供しているが、
NTTも例にもれず提供している。それがNTTコミュニケーションの提供するクラウドサービスだ。
最近その提供サービスのうち、Bizホスティング エンタープライズがサービス終了となり、
そこのスキを突かれたようだ。詳細は上記リンク先にあるが、撤去予定の海外サーバから
侵入されてしまったようだ。
問題はそこではない
もちろん顧客情報を見られてしまったら不正に使われる可能性があるが、コンシューマと
異なりBtoBであればクレジットカード払いではないことが多いので、カード情報の流出は
ないのかもしれない。(あるかもしれないが)
問題は、その続報にあった、防衛省の設備情報が流出したかもしれないことだ。
国防上の理由で秘匿すべき情報をパブリッククラウドにおいていいのか?という問題がまずあるが、
昨今発生したハッキング事件を連想して、どこかの国が日本の防衛情報を調べているように思える。
三菱電機 19年6月
NEC 20年1月
神戸製鋼所 20年2月
三菱電機の件は記憶に残っている諸兄も多いだろう。
暗躍するクラッカー
パブリッククラウドではいろいろな認証を受けてデータが家庭や会社にあるより安全とうたっている。
ちょうど現金を家に置くよりも銀行に預けるほうが安全でしょ、という理論で。
たとえばこういう認証がある。
AWSでは、ISO 27001、ISO 27017、ISO 27018、PCI DSS、SOC 1,2,3を取得している。
NTTコミュニケーションではISO 27001,27017, 20000, PCI DSS, SOC 1,2, MTCSを取得している。
Enterprise Cloud Knowledge Center
Enterprise Cloud 外部認証取得状況 | Enterprise Cloud Knowledge Center
https://ecl.ntt.com/security_compliance/certificate/
Enterprise Cloudサービスにおける外部認証の取得状況、取得予定についてご案内します。 認証概要 Enterprise Cloudサービスにおいて取得しているもしくは取得予定の認証についての概要を説明します。 ISO 27001(ISMS) 情報セキュリティマネジメントシステムの国際規格。情報資産の保護、利害関係者からの信頼を獲得するための"セキュリティ体制の確保"を目的に、基準となるべき手順を体系的に整理しています。 *ISMS(情報セキュリティ管理システム)ともいいます。 ISO 20000(ITSMS) ITサービスマネジメントの国際規格。IT...
リンク先を見ると実際には全部のDCで取得しているのではなく、一部しかとっていないものもあるようだ。
認証をとっていないDCのスキをついて発生したかもしれない今回の事件。
国家間の暗闘が戦場からサイバー空間に移って久しい。今回のような事件は今後も続くであろう。
PR
著者プロフィール
irvine
ソフトウェア設計、ストレージ設計を経てクラウドにかかわる仕事をしている、東京郊外在住のエンジニア。
仕事でUS,UK,SGなどの国とかかわる。
自作PC、スマホ、タブレット、AV機器好き。ドラクエウォークはルーチンワーク。Linuxやストレージ、IT業界の動向は興味を持っている。
新しい機器、サービスに興味あり。年数回のレビュー(自腹購入、ご依頼)と発表されて興味があるものの新製品机上レビューをやっている。
2022年はJAPANNEXT様のアンバサダーを務めました。
