不正アクセスにより情報漏洩 GMOペイメントゲートウェイ

GMOペイメントゲートウェイ株式会社の運営受託するWebサイト「東京都の都税クレジットカード支払いサイト」と「独立行政法人住宅金融支援機構クレジッットカード支払いサイト」への第三者による不正アクセス及びそれによる利用者の個人情報・クレジットカード情報の漏洩が発生したこと、同社GMOペイメントゲートウェイ株式会社により平成29年3月10日に公表されています。

67万件漏洩、都税クレジットカードお支払サイトへ不正アクセス

同社は本件における事実関係の調査や原因究明、再発防止策の公正かつ透明な検討が必要であると判断し、平成29年3月14日から4月30日の期間、外部専門事業者を交えた再発防止委員会を設置し、インタビュー・社内規定等の記事のレビュー・各ログをチェック・技術調査等の調査及び再発防止策の検討・実施を行っていたとのことです。

 

 

 

引用元:https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf

 

調査の結果、情報セキュリティのマネジメント体制及びその運用が適正に行われていなかったことが原因となったことが究明され、経営責任担う役員三名の月次報酬減額の処分の実施を公表しました。

 

対応

再発防止委員会による調査で明らかになった情報セキュティ意識における問題点としては、情報セキュリティインシデントに関連する社内規定が存在している一方で、その対応手順を具体化するためのエスカレーションの周知の不足が挙げられます。

これにより、委員会による対応の決定としては以下の通りです。

技術的防止策

・短期的対策

不正リクエストの遮断や不正プログラムのブロック

データ隠蔽や持ち出しの阻止

・中長期的対策

脆弱性の観点から既存のApache Struts2の廃止

不正アクセス検知及び同社の扱う全てのシステムに対するPCI DSS再監査の実施

 

情報セキュリティマネジメントによる防止策

情報セキュリティに精通する人員の補充、及び彼らの専門的知識を用いて情報セキュリティマネジメント・社内規定。運用体制の再検討

情報セキュリティに精通する人員を情報セキュリティ委員会へ補充し、リスクアセスメントを効果的かつ適正に運用できるよう対応

情報セキュリティ委員会における各役割分担・実施事項(範囲)を明確化するために社内規定及び組織体制の見直し

セキュリティインシデント

脆弱性情報の早期入手に努め、それらを社内関係者で共有可能とする仕組みを策定

チェックリスト・手順・報告先一覧等の情報をエスカレーションするためのガイドラインを策定し、それらプロセスの明確化、また、それらに携わる関係者の範囲を定め、情報共有を可能とする仕組みの策定

システム開発

外部の専門事業者の助言を元にソフトウェア選定基準の明確化、既存システムにおける不正または適正でないソフトウェアの使用停止の検討

システム開発における要件定義・設計・構築・テストの各工程で遵守すべきセキュリティ基準を具体化する必要があることから、システムセキュリティ基準及びシステム開発標準化基準の内容を明確化

セキュリティグループ・開発グループの連携を最適化

教育

社内の情報セキュリティ意識(重大な脅威・不正検知等)に対する意識の向上を目的とし、それに関する教材の改訂・外部講師による教育を講じ知識の取得

 

中小企業情報セキュリティ.COMの見解

今回の事例から我々中小企業が学び取れる点としては、【情報セキュリティマネジメント】の強化だと思います。

多くの事例で共通している点ですが、「インシデント発生の直接の原因は技術的な対策の不備」です。

ただ、その技術的対策の不備は組織的対策の不備から発生することが多いです。

大分端折ってですが具体的にお伝えすると

・○○という挙動、○○という連絡があったら○○というインシデントの疑いがある

インシデント対応の方針(ゴール)は業務復旧なのか、訴訟に備えた証拠保全なのか等を、予め決めておく

・その方針(ゴール)に沿って、いつ、誰が、どこに、どんな内容の連絡、どんな対応をする

・どこまでの権限が誰にあるのか

・etc

具体的にハッキリと決めておくことで多くのことを防ぐこと、軽減することができます。

近年はこういったインシデント報告が増えています。現在ある事例だけでも相当の数があるので

所属している組織に当てはめて想定してみることが重要です。それだけでも何が足りていないか、

具体的になるはずです。

何れにしても情報セキュリティ対策は経営陣が率先して向き合わなければ現場への浸透を実現することは

難しいケースが多いです。

スタッフへの研修、教育を通して意識向上をする前に、組織的な対策についての取り組みをすることで

情報セキュリティマネジメント体制の強化は実現しやすくなります。

中小企業情報セキュリティ.COMは【情報セキュリティの強化を通して会社を強くする】お手伝いをしております。

『社内向けのセキュリティ研修をしてほしい』『ポリシー策定をしていない』、『どのように対応したらいいか分からない』、『インシデント判別基準がない』等の場合は、弊社へご相談を頂ければ、ヒアリングをした上で、ご希望の対応をさせて頂きますので下記の電話番号までお気軽にご連絡をください。

 

 

関連リンク

情報セキュリティポリシー策定の事例

http://中小企業情報セキュリティ.com/導入事例:大学(120名)の情報セキュリティ/

 

情報セキュリティポリシーの必要性

http://中小企業情報セキュリティ.com/情報セキュリティ対策が必要な理由/

 

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop
中小企業の情報セキュリティを守る中小企業情報セキュリティ.COM by 横浜情報機器株式会社