厚労・国交省、公式サイトのハッカー攻撃を長期間放置
何を考えてるんだか。
厚労・国交省、公式サイトのハッカー攻撃を長期間放置
http://headlines.yahoo.co.jp/hl?a=20090530-00000433-yom-soci
あのさ、内閣官房情報セキュリティセンター(National Information Security Center;NISC)が第二次情報セキュリティ基本計画(民間企業で言えば中期経営計画に相当するもの)を示し、セキュア・ジャパン2009(案)(民間企業で言えば、単年の経営計画に相当するもの)も出している。
その中には政府や地方自治体などを対象にした項目もしっかりと書かれているんだけどさ。
中央省庁がこのザマでどうするんだ。役人なら、きちんとこういう上位方針を理解し、それをブレークダウンして、実行可能な諸施策を考えて、実行して、その結果を確認し、問題点を改良していく・・・いわゆるPDCAを回していくべきところだろう。
近年のサイバー攻撃の特徴はWebサイトの改ざんを行ったり、アドワーズ広告にウイルスやマルウェアを配布するようなサイトにリンクするようにしていて、攻撃の起点に問題がないWebサイトが使われることが増えている。
アドワーズ広告の例は別にしても、改ざんなどの問題が起きないようWebサイトを運用している側で防御することが強く求められている。
典型例がSQLインジェクションと呼ばれる方法でWebサイトを改ざんし、リンクをマルウェアを配布するサイトにしたり、ページを開いただけで、ウイルスに感染させるように細工されることがある。
この場合、改ざんされたWebサイトは被害者ではあるが、同時に加害者にもなってしまう。
こういう事情があるから、速やかにWebページを一時的に閉鎖してでも全検査をし、脆弱性(システム的に問題のある箇所・問題のある部分)がある箇所は速やかに修正・改良をする必要がある。
個人のインターネットにつながっているパソコンも同じで、ウイルスに感染した被害者になるのと同時に、ウイルスをばら撒くのを本人が意図しないうちに手助けしたり、パソコンの中のファイルをばら撒いたりしてしまい、個人情報を漏洩させた加害者になってしまうのだ。
こんなことは、情報システムを仕事にしている人は職務の分野を問わず知っていなければならないことだし、こんな杜撰な対応を中央省庁がやっているなんて、お粗末にも程がある。
その一方で、記事にあるように個々に分散したサーバーがあれば、それだけ運用コストも、対処できるだけの技術者を育成しなくてはいけない。統合を進めた上で、WAF(Web Application Firewall)などを導入して、防御力を高めることも必要だと思う。