システム設定ミスが原因 ~「Wantedly」で200,578 名の個人情報が閲覧可能に
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・設定ミスを確認する適切な頻度
・漏洩した際に深刻度の高い情報
今回の解説ニュース
設定ミスが原因で、求人サイトから個人情報が閲覧可能であったということです。設定ミスを確認する適切な頻度と、漏洩した際に深刻度の高い情報について説明します。
今回のインシデントは、未公開および削除された「募集記事」「会社ページ」が、当該記事のURLを入力することでアクセス権限を持たない第三者に閲覧できる状態となっていたものです。その後の包括的なリスク評価を実施した結果、合計で10件の類似の不具合が発見されており、「メンバー」として登録されたユーザーの個人情報も閲覧できる状態となっていたということです。原因として、システムの設定ミスが挙げられています。
対策として、全ての問題の修正対応を完了しています。再発防止策として、今後、外部業者による脆弱性診断を行い、ネットワーク経路およびデータベースに対する調査やアドバイスに加えて、セキュリティ強化施策を実施するなど、技術的な安全管理を強化するということです。
設定ミスを確認する適切な頻度
システムの設定ミスがないか確認する頻度として、年1回程度の定期的に行うことや、新規機能追加やシステム改修のリリース前に都度実施することが挙げられます。
設定ミスを含む脆弱性を洗い出す方法として、今回の再発防止策でも、脆弱性診断の実施が挙げられています。定期的に診断を実施することで、前回の診断から新たに発見された脆弱性や、前回の診断では発見できなかった既知の脆弱性の再発を防ぎます。また、新規システムのリリース前や新機能の追加によって新たな脆弱性が作りこまれる可能性があるため、リリース前に都度診断を実施することが必要です。
なお、今回のように、セキュリティインシデントが発生した場合に、原因究明の一環として診断を実施することもあり、診断結果から再発防止策を講じることができます。