水無月ばけらのえび日記

Webを活用したビジネスでの心構えとは?

中島

お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう

高木

今まで2回くらい出てはいるのですが……。

2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思いつつもいろいろ説明した。

経産省からプレスリリースは出ている。IPAセキュリティセンターの取り組み、情報セキュリティ白書などもある。しかし、中島社長の耳には届いていない。

認識のある人は注意してくれるのだが、認識のない人の耳には届かないという問題がある。

高木

サウンドハウスには、SQLインジェクションを知っている技術者がいたのか。

中島

2006年の時点でも最低2人はいた

高木

カカクコムの話で「技術が大切だということを知った」と言っていた。ちゃんとやれば守れると言うこと。

穴さえなければ良いのだと言うことを知っているかどうかがキーになる。

ベンダーはソリューションを売ろうとする。ハッカーセーフは有効か。

中島

……(何も言わず)。

この後、中島社長はしばらく沈黙。

あと、どなたの発言か忘れましたが、「リアル店舗では『なんか中国人が多い』とすぐ分かるが、Webではログを監視していないと分からない」という話があって印象に残っています。

セキュリティ対策、どこまでやれば適切なのか?

高木

外注と自社でだいぶ事情が違う。外注のケース、特に自治体発注で、ロクに見ずに検収してその後脆弱性発覚ということがある。

安全な作り方のスタンダードを作れば良い。

専門技術者が評価される仕組みが必要。試験ではなく、本当のプロフェッショナルをうまく評価する仕組みが必要。

中島

戦争なんだ、道路で人が倒れている。理屈抜きで助けてほしい。免許とかどうでも良い

セキュリティ対策コストは誰が負担するべきか?

中島

行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい。

中川

セキュリティ価格は消費者に転嫁されるが、消費者には区別がつかない。

NGNだと匿名性が少なくなるのではないか。

高木

(ぼそっと)NGNはダメだと思いますが

門林

Webは利用者に労働させることで安くしている。企業側が負っていたリスクも消費者に押しつけられている。

カード会社も16桁のカード番号と数桁のパスワードという脆弱な仕組みを使い続けたいために情報を隠蔽する。今のカードシステムは考え直した方が良いのかもしれない。もう Felica に変えてしまったら?

アメリカ主導の「カード」というシステムにこだわる必要はないのではないか。そうすることでリスク負担の構造も変えられるのではないか。

高木

一般市民も勉強してほしいという話があったが、話を聞くと、どうもサウンドハウスではDBにパスワードを生で格納していたということのようだ。そのような実装は非常識。

技術的な常識を全て把握していれば何も起きないはず。そういう常識を共有できる方法はないのか。

対策はしつくした、CIO、CTOができることは?

高木

セキュリティを分かっている人材を評価する仕組みをつくる。

門林

良き翻訳者になれ。経営サイドの言葉と技術サイドの言葉を両方理解すること。

中川

PDCAサイクルが重要。常にチェック、見つけたらアクションという流れを会社のプロセスに流し込む。

中島

一寸先は闇のジャングルの中にいるという認識を持つ。光がほしい。光、ガイダンスがほしい。

山崎

対策をしつくした状態が仮にあったとしても、環境が変化したら漏れが出る。

監視、モニターが必要。中川さんのPDCAの話に同意。

私の感想

中島社長に言いたかったことを高木さんが言ってくれたので、すっきりしました。:-)

中島社長はひたすら「行政が頑張れ」という主張を展開していましたが、高木さんは「既にやっている」と反論。「サウンドハウスには、SQLインジェクションを知っている技術者がいたのか」という質問はまさに核心ですが、これに「いた」と答える社長が凄い。「じゃあ、どうしてSQLインジェクションでやられたのですか?」……という質問は出ませんでしたが、その質問をしても建設的な感じの議論にはならなそうですね。

やはり認識が大きく違うのではないか、ということを再認識させられました。

ネットライフ生命と既存の生保について

• 生保の約款は字が小さく、インクが薄く、紙が薄い
• ライフネットではダウンロードできるようにしている
• 普通の生命保険は、なんと契約しないと約款が見られない!
• 日本の保険は人件費が多い。保険の申込書をかわりに書いてくれたりもするような? (本当はやってはいけない)

企業の責任(CSR)

企業には4つの責任があるというお話。

• 経済的責任(義務) : 利益を上げる……配当金・給料・納税
• 法的責任(義務)
• 倫理的責任 : 社会から期待されていること。たとえば「機微情報は適切に扱ってくれるよね」という期待
• 社会公権的責任 : 社会からの要望

• ステークホルダーに対する説明責任がある。説明ができなければ社会に認めてもらえない、信頼を得られない企業は持続できない
• 生命保険は持続がとても大事 (10年、30年の商品であるため)。そのため、厳しい審査がある。ライフネットは戦後初の独立生保
• 情報セキュリティマネジメントは CSR への取り組みの一環として必要

• 競争の激化: カカクコムで価格比較できる。こんな事は昔はなかった。
• ビジネススピードが劇的に速くなり、チェックの時間も与えられなくなってきている
• 付加価値が競争の源泉となる時代が来ている
• 情報の価値が相対的に高まっている……ヒト・モノ・カネにプラスして情報、「情報」が第4の経営資源となる

• 企業は社会のネットワークの一部であり、社会全体の利益に貢献している
• 信用力が重要。その信用力はセキュリティ管理能力によって左右される
• 脆弱性 = 情報管理メカニズムの欠如。たとえば、トップが「売上げが低いから」とセキュリティ予算を削るのは、企業経営体質の脆弱性

対応

• 責任体制の明確化
• セキュリティガバナンスの確立

セキュリティ投資に意味はあるのか?

• 東京大学田中氏による統計的関連
• 目に見えない資産として評価される可能性がある

まとめ?

• セキュリティを通じて企業の理念を実現する
• セキュリティレベル向上による企業価値の向上

……最後に、ライフネット生命の宣伝など。この会場に来ているようなネットリテラシの高い人は、クルマで言えば給油口を自分で開けて給油できる人。そういう人向けに廉価(れんか)でシンプルなサービスを提供しているのでよろしくお願いします、というようなお話をされていました。

感想

私の感想ですが。

印象に残ったのは、「人事規則に罰則までないと責任が明確化されたとは言えない」というお話。それから、リスク分析と線引きの話でしょうか。

あとは、後のパネルディスカッションで投資額のお話が出たりしています。

導入部

最初の一言が「サイバー戦争」。「戦争」というキーワードは何度も何度も出てきます。

• サウンドハウスができてから15年、突然、攻撃を受けた
• 奇襲攻撃。あっと気がついたらやられている。実体が見えてこない
• SQLインジェクションのミサイルが飛んできている。特に中国から多数のミサイルが来ている。しかも、ミサイルは目に見えない

この「ミサイル」のくだりのスライドがまた秀逸で、会場は爆笑していました。

事件までの経緯

サウンドハウスの紹介と、事件までの経緯。

• やることはやってきたつもり。最善の対策を取れと言ってきた。
• サウンドハウスは業界では大手。30万の顧客データベースをもち、毎年1～2割の増益を継続している会社
• 2005年1月、ハッカーセーフ導入

そして話は「ハッカーセーフ」の内容に。

ハッカーセーフについて

• システム脆弱性を検知する
• 詳細レポートが送られてくる。それぞれの脆弱性は5段階評価で通知され、レベル3より高い脆弱性が検知された場合、72時間以内に対応しないとシールが剥奪される。ただし、そういう高レベルな報告が来ることはほとんど無い

なぜハッカーセーフが効かなかったのかという理由について。

• Webアプリケーションは自社開発だが、消し忘れた不要ページがあったのかもしれない (.aspが2500ほどあり、管理しきれていなかった)
• ハッカーセーフが脆弱性のあるページを見逃した可能性も考えられる。たとえば、リンク切れのページは検証できない

さらに、ハッカーセーフについての反省点の話。

• ハッカーセーフの指示で対策を講じていれば良いと思っていた (が、十分ではないと分かった)。
• 例の中国のブログ (参考:「「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた (internet.watch.impress.co.jp)」) が書かれた日のハッカーセーフレポートを見ると、レベル1の危険度のみが報告されていた
• 対策も表示されるのだが、「対策は特に必要ありません」と言われたので安心してしまった

このときハッカーセーフのレポート画面が映されましたが、そのレポートは「IISがBasic認証またはNTLM認証を許容」というものでした。これはもちろん脆弱性ではなく、「念のためお知らせ」レベルのものでしょう。要するに、何も検知されていなかったということだと思います。

情報漏洩について

情報漏洩の規模とその公表についての話。このへんからちょっと微妙な空気が流れてきます。

• 1回のアクセスで20件引き出し、それが4875回のアクセスで、掛け算して97500件の漏洩と発表
• 2007年～2008年の、新規登録者の顧客データのみが対象
• カードデータの登録は27743件
• うち、2008年の登録は4811件
• さらに、被害のほとんどはカードとサウンドハウスのパスワードが同一の場合

……何が言いたいのかイマイチ分からないまま聞いていると……。

• 実際の被害規模は、4811×8割(カードのパスワードがサウンドハウスのパスワードと同一の人の割合)×5割(攻撃成功の割合) で 1000～2000件くらいだと思う
• しかし、LACの人に「漏洩の可能性があるMAXの件数で発表するべし」という旨のことを言われたので、97,500件の漏洩と発表した

LACならずとも「漏らした側の人が言ってはダメだろう」と思いますが、後の話と総合すると、「真の被害規模が見えない」ということを仰りたかったのだと思います。話は続きます。

悩み

サウンドハウスの悩み、困ったことなど。

悩みの話は以上ですが、情報が少なくて実際のところ何が起きているのか分からない、という話が悩みのメインであるように思います。他に類を見ないプレスリリースが出ましたが、情報がなさ過ぎて本当に困っていたからこそ、自らはとにかく積極的に情報公開するという姿勢になったのかもしれません。それがやり過ぎかどうかは、まあ、議論の分かれるところでしょう。

教訓

今回の事件で得られた教訓。

……この辺、話の進行が早かったので手元のメモが漏れがちになっています。だいぶ抜けがあるかも。

セキュリティ対策の高いハードル

「日本困難で委員会」の話。スライドは「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されている画像と同じものです。

そのまんまなのですが、セキュリティ会社への提言だけメモ。

• 社会のためにデータを公表してほしい
• 他者の被害事例については、「いっぱいやられている」という話は聞くものの、公表できないと言われる
• 被害を受けた会社をなんとか説得して、被害事例を公表してほしい

今後の提言

提言はこんなところ。関連するのでここにメモしておきますが、社長は後に別のセッションで、「行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい」という発言もされていました。

結び

最後に、この言葉で締めくくられました。

• 「絶対に負けられない戦いののろしが上がった! いざ、出陣!!」

残念ながら質問タイムは無し。質問というか、言いたいことはとてもたくさんありましたが……幸い、後のセッションで高木さんがほとんど言ってくださいました。それについては別途書こうと思います。

感想

私の感想を。

まず、なんと言っても中島社長のキャラクターに圧倒されました。話がとても面白いので、また機会があれば是非、生で聞きたいと思います。メモにはあまり書いていませんが、全体を通して「お客様が困る」「お客様に迷惑がかかる」「お客様のために」と、お客様を第一に考える旨の発言をされていました。非常にまっすぐで、好感の持てる人だという印象を受けました。

ただ、話の内容に賛同できるかどうかと言われると、これはまた別の話になります。

まず、脆弱性についての認識。中島社長の認識は、「戦争」というキーワードで象徴されます。気がついたら弾の飛び交う戦場のただなかにいた……というような表現もされていましたが、「普通の人はSQLインジェクションの弾が当たっても怪我一つしない」などという認識はないでしょう。「普通にちゃんと作れば攻撃されても平気」という認識ではなく、「普通にちゃんと作っても攻撃されてしまうので、厳重な対策が必要」という認識で議論を始められているように思います。この点、多くの技術者の方とは認識が異なるのではないでしょうか。「技術が重要」と言われるカカクコムの安田さんとも対照的だと思います。

関連しますが、提言がどこか他力本願なのも気になりました。「LACだけが頼り」とか「お役所から言ってもらわないと」といった発言がありましたが、「誰かが何かをしてくれるだろう」という受け身の体勢に見えます。意地悪な見方をすれば、「単にハッカーセーフがLACに変わっただけで、本質は変わっていない」とも言えそうです。ただ、前述したように、基本的な認識の部分が違っているために「誰かに何とかしてもらわないと、自分ではどうにもならない」と感じられているのではないかとも思えますが……。

積極的な情報公開をしたい、してほしい、という姿勢には共感できる点もあり、頑張ってほしいところです。

※余談ですが、2日目の最後のセッションはほぼツッコミ大会でした。この話を聞いていなかった人にはわからなそうなネタが大量に……。

事件の経緯

まず事件の経緯の話などが出ますが、まあそれはさんざん出ているので割愛します。細かい部分で興味深い話が2点ほど。

• 改竄を把握したのは水曜。改竄部分を戻したら問題なかったようなので運営を継続したが、その後も断続的に改竄と修正を繰り返した。土曜の夕方に一旦サーバを停止。その後再開するも、土曜の夜になって改竄の頻度が非常に高くなり、改修での対応は無理だと判断して閉鎖に至った。
• 「どのくらいで復旧できるのか?」と社長に詰め寄られ、「一週間くらい」と返答 (実際には10日間の閉鎖)。

サイト閉鎖後のシステム対応

サイト閉鎖後のシステム系の対応について。

• OS、ソフトウェアの全再インストール。LACの人から、「ひそかにバックドアが残されているかもしれないので必須」というようなことを言われて実施。100～150台ほどあるサーバすべてについて、地道にCDからインストールを実施。2交代制 (朝10時と夜10時に人員入れ替え) でひたすら作業。しかし、これが完了してもすぐには動作してくれず、色々調整が必要だった。
• お店の人に値段を入れてもらう必要があるため、先にショップ側管理画面を再開。このとき負荷が高くなったりして色々あった模様。
• プログラムの見直し・強化を実施。OS、ネットワークレベルでのスキャンなどを実施。全体で約9000ものプログラムが存在しており、10日間で全体をチェックすることができなかったため、まずは価格比較部分のみ復旧。他は随時、3ヶ月ほどかけて復旧。
• ログを再確認したところ、3ヶ月～半年ほど前から予兆的なアクセスの痕跡があったことが判明。ちゃんと監視していればもっと早くに気づいていただろうということで、監視を強化。
• メールアドレスが個人情報なのかどうかは色々面倒な議論があるが、ともあれメールアドレス以上のクラスの情報は暗号化してから保存、というルールをつくって徹底。

社内の対応

社内の仕組みとして、以下のようなことを実施。

• 社長直属の情報セキュリティ室を設置
• セキュリティ委員会による外部の有識者との会議
• 社員への教育 (ガイアの夜明けDVDを社員教育に使用)
• 連絡網の整備、随時アップデートが必要。何かあったとき、判断を誰が下すのかを決めておかなければならない

ここで一番印象深かったのは、「セキュリティを第一とした企業文化の構築」という言葉。企業文化の改革が必要だったと。

対外的な対応

その他、対外的な対応。

• 当然ながら、ユーザへの対応が発生。コンテンツチームを中心に、電話・メールへ返答。
• 警察への報告は苦労したとのこと。所轄と警視庁のサイバーチーム両方の協力を得たりしながら進めるが、事件性があるかどうかは被害者側が実証しなければならないと言われた。アクセス制御機能があったことを証明しなければ不正アクセス事件として立件できない。警察にはWebサーバとDBサーバを引き渡したり、ネットワーク図なども渡したり。
• 経済産業省にも報告。「何で対策していなかったのだ」という主旨のことを厳しく言われ、もっとも厳しかった。:-)
• 株式市場への対応も行う必要があった。カカクコムはWebサイトが事業の全てなので、サイト閉鎖はすなわち商売をしていないということで、事業継続性が疑われることになる。再開が延びれば延びるほど厳しくなる。
• ショップへの対応。カカクコムに完全依存したショップが多く、「いつになったらオープンするのか」という問い合わせが多数あった。秋葉原のショップをまわりながら説明したり、暫定的に店へのリンク集をつくって対応したり。

※実際には「アクセス制御機能」ではなく「アクセス権限」と仰っていましたが、文脈からして、不正アクセス禁止法第2条3項で定義されている「アクセス制御機能」の事と思われます。

総論

• 「セキュリティ事故は、企業にとって致命的である」ということ。メールアドレス流出による被害問い合わせは事件から1年半ほど続き、謝り続けた。そのメールアドレスが本当にカカクコムから盗まれたのかどうかは分かりませんが、そうでないという証明もできないので、謝るしかない。
• 「セキュリティを守るのは技術と文化」。まず技術、たゆまぬ技術力の向上が必要、技術的な部分が大きい、技術負けしないように。ただし、技術があっても運用されなければ腐ってしまうので、マネージメント、会社としての取り組みも必要。優先度で言うと、1に技術、2に文化で、技術のほうが重要。

質問

質問の時間。情報公開しなかったことについてどう思っているのか訊きたかったのですが、武田さん (motivate.jp)がズバリの質問をしてくださいました。

で、回答ですが、「当時はそれで良かったと思っている」とのこと。ちなみに、例の「NDAを結んで情報開示」という話は20社くらい来て契約を結んだそうです。さらに、「今度あったらどうか」という質問をされましたが、それについては「インパクトや責任によって変わっていく」という、当たり障りのないご回答でした。

それから、セキュリティ投資はどのくらいしているのか、という質問が出ましたが、「カカクコムの場合は売上げの数%だが、必要なものを積み上げて行くだけ」というお話でした。

感想

最後に私の感想を。

後半で「技術」を強調されたのが印象的でした。元々Webで営業している企業だからだということもあるのでしょうが、後に話されたサウンドハウスの中島社長とは対照的です。カカクコムの人たちは「SQLインジェクション」というものが何なのか理解していて、何が必要なのかも分かっているという印象でした。

情報公開に関しては、会社の公式見解としては「正しかった」と言うしかないと思うのですが、中の人の心境としては複雑なのかもしれないなぁ、と深読みしております。