« [P2P]P2Pソフトとセキュリティポリシ | トップページ | [P2P]ファイル交換ソフトによるインシデント対応:対処編1 »

2004.10.06

[P2P]ファイル交換ソフトによるインシデント対応

さて、前回はファイル交換ソフトについても通常のセキュリティポリシを遵守すれば対応できる事を書いた。今回は実際にあり得るケースを設定し、どのようなインシデント対応をすれば良いのか考えてみよう。Blogを見ている方も是非コメントや意見をお伺いしたい。

[想定:インシデントのケースと状況について]
A社は食品加工をメインとしている中堅会社である。A社では自社製品の販路を拡大するためにWEBによる販売を始めた。ユーザはA社の情報部が管理・構築したWEBサーバにアクセスし、クレジットカードや住所、氏名を入力する必要がある。なお、A社がWEBサーバ等の配信システムを構築する上で外部コンサルタントからアドバイスを受けていて、ファイアウォールとIDSを設置している。ただし導入したIDS、ファイアウォールはP2Pソフト通信の検出、遮断はできない。A社は製品の発送をB社に委託しており、個人情報についてはB社の限られた社員のみがアクセスすることができる。なお、A社とB社には秘密保持契約を結んでいるが、それ以外のセキュリティ対策についての契約は結んでいない。

A社では個人情報保護法の注目を受けてセキュリティポリシを作成すべく情報部長のC氏をセキュリティ担当を選び、セキュリティポリシの策定をすることを決定した。また、セキュリティポリシが完成するまではセキュリティインシデント対応についてもC氏が責任を負うこととなっている。なお、C氏はA社経営陣の一人である。

C氏を中心にセキュリティポリシの策定をしてから間もなく、個人情報漏えいのインシデントが発生した。状況は以下の通りである。

1)P2PネットワークにA社が管理している事が特定できるユーザの個人情報がアップロードされているという情報が広報部に複数寄せられた。

2)ある掲示板にP2PネットワークにA社の個人情報がアップロードされている、と書いてあるとの情報が広報部から知らされた。

3)上記P2PネットワークはWというP2Pアプリケーションで構成されており、アップロードをした人は特定が困難であり、P2Pアプリケーションから削除する事も難しいということを既にC氏は知っていた。

4)一報を受けた社長からは緊急対処をする事及び再発防止の対策を早急に報告するように言われている。ただし、再発防止対策は費用対効果を考慮することと言われている。

C氏はこのインシデントに対してどのような対応をすればよいだろうか?初期対応から恒久的な対処まで考えて欲しい。皆様の対応アイデアについてはトラックバックまたはコメントでお待ちしております。

P.S.5万アクセスありがとうございました。


|

« [P2P]P2Pソフトとセキュリティポリシ | トップページ | [P2P]ファイル交換ソフトによるインシデント対応:対処編1 »

パソコン・インターネット」カテゴリの記事

コメント

この記事へのコメントは終了しました。

トラックバック


この記事へのトラックバック一覧です: [P2P]ファイル交換ソフトによるインシデント対応:

« [P2P]P2Pソフトとセキュリティポリシ | トップページ | [P2P]ファイル交換ソフトによるインシデント対応:対処編1 »