by 日本テレビ放送網株式会社個人情報不正アクセス調査委員会
情報漏洩事故に対して時系列でまとめられていたので大変参考になります。
社内のリスクマネジメント体制はちゃんと機能したので良かったですが、システムがお粗末です。
普通はあり得ない作りになっているからね。。
①サーバ上に不要なプログラムが残っていた。②ウェブサーバのアカウントで、サーバ上のデータに自由にアクセスできていた。③ウェブサーバから個人情報データが保存されたディスクが直接マウントされ閲覧操作できる状態にあった。なお、ウェブサーバに不正侵入しない限り、インターネット側から当該ディスクにアクセスすることはできなかった。④個人情報データは、暗号化されておらず、平文で保存されていた。⑤削除すべき過去の個人情報データがディスクに残っていた。⑥個人情報データが保存されていることを推測されやすいフォルダ名を利用していた。⑦サーバのネットワーク設定が実装されていなかった。⑧ウェブサーバから外部への通信が全て許可されていた。
Comments