事故から学ぶ
2024/03/12
国土交通省管轄の予約サイトで、テストサーバから個人情報流出
事故概要
| 業種 | 行政機関 |
| 発生時期 | 2024/2/26 |
| 漏えい人数 | 34,000 |
| 事故概要 | 国土交通省管轄の淀川河川公園の施設予約サイト「よどいこ!」のテストサーバに対し、第三者による不正な外部通信があり、利用者の個人情報が流出した可能性がある。 サーバ内には個人情報約3万4000件が保存されていた。氏名、性別、生年月日、住所、電話番号、メールアドレス、銀行口座のほか、同サービスのログインIDとパスワードが含まれる。メールアドレスと銀行口座については暗号化していた。 |
| 引用元 | よどいこ! |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
テスト環境下にあった同サーバへ利用者情報を実装し、稼働させていたところ、悪意ある第三者による不正な通信が発生した。
テスト環境のセキュリティーの甘さを突かれた。
チェックリストにある要求ルール:
システムテスト環境に本番の個人データを投入する際は、本番環境と同様のセキュリティー対策を組むこと。
外部からの不正アクセス監視体制も稼働させること。
■ 推奨対策
対策:
本番環境に比べ、システムテスト環境のセキュリティ計画が甘くなるケースが散見される。
テスト環境にログインできるアカウント管理を厳密に行うほか、本番環境とテスト環境の2つの監視を並走させるため、セキュリティー監視体制を整え運用すること。
具体例:
本番環境と同じセキュリティー体制をテスト環境に適用する。
タグ
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
