こんばんは。今日は舛添都知事辞任や、中国軍艦船進入等のニュースがありましたが、個人的にはJTBの情報漏洩事件が気になっています。記事はこちらです。標的型メールを受信して、気づかずに添付ファイルを開いてしまったそうです。それによりウイルス感染を引き起こし、社内のPCやサーバに感染させてしまい、情報漏洩を引き起こしたのだとの説明です。3月15日に標的型メールを受信して、海外との不審な通信に気づいたのが19日。実際に対処し始めたのが25日だということだそうです。

「少々遅過ぎないか？」とツッコミたくなる対応でした。

 ここで気になるのは、「ウイルス感染したPCが社内PCやサーバに感染させてしまい」という行です。何かおかしくないですか？この内容を額面通りに信用したとすると、「なぜこうも簡単に業務用PCがサーバに接続出来てしまうのか？」という点です。メールサーバをはじめとするクライアントが直接必要とするサービスを提供するサーバはここでは除外します。今回の事件では793万件の個人情報が漏洩したとのことです。この個人情報は普通に考えて、データベースサーバに格納されていたはずです。まさかとは思うのですが、「JTB子会社の社内ネットワークはクライアントPCもサーバも同一セグメントに置かれていたんじゃないか？」と勘繰りたくなるほどお粗末な構成だなと記事を読んだ限りでの印象でした。

 まさか、そんな杜撰な構成ではないと信じたいのですが、やはりネットワーク構成に問題ありだと思われます。まず、メールを送受信するPCとデータベースサーバににアクセス出来るPCは分けておくべきでしょうし、それぞれ別のVLANにしておき、VLAN間通信は禁止しておくべきでしょう。

　そして、データベースサーバがプロキシサーバ経由で外部と無条件に通信出来るような設定になっていたんじゃないかとも思えます。

 それと、サーバセグメントに関しても問題がありそうです。もしかして、内部向け外部向け関係なく全てのサーバが同一セグメントに集約されていたりするんじゃないかと思えてなりません。外部向けと内部向けはきちんと分割した上で、データベースサーバだけは内部向けの独立セグメントに配置すべきかと思います。

 さらに気になるのが、このデータベースサーバにwebサーバも同居していて、外部から剥き出しになっているのではないかと邪推したりしました。(^^;;

　基本的に外部に公開する性質のサーバではないはずですから、外部剥き出しではないと信じたいです。webサーバとデータベースサーバを別マシンにして、内部向けサーバ用VLANにwebサーバを、内部向けデータベースサーバ専用VLANにデータベースサーバを配置し、webサーバからしかデータベースサーバにアクセス出来ないようにする等の工夫は必要かと思いました。

　なんかこのへんは情報セキュリティスペシャリスト試験に出てきそうなネタではありますね。(^^;;