事故から学ぶ

神戸市水道サービス公社への委託業務におけるID・パスワードの誤発行について

事故概要

業種 地方公共団体
発生時期 2021/5/6
漏えい人数 95
事故概要

1.概要
(一財)神戸市水道サービス公社が水道局からの委託を受けて運営している神戸市水道Web閲覧システムにおいて、令和3年5月6日午前9時50分から10時10分までの間、一部の利用登録者が、システムの管理者サイトを閲覧できる状態になっていたことが判明しました。
なお、現在のところ、当該情報の不正使用による被害が発生した事実は確認されていません。神戸市水道Web閲覧システムとは、道路に埋設されている給水管などの管路情報をインターネットで公開するシステムで、利用にあたっては予め登録が必要です。
2.閲覧可能となっていた情報
神戸市水道Web閲覧システム利用登録者95名分の個人情報を含む情報
(氏名・メールアドレス・本システム利用のためのID及びパスワード)
3.原因
神戸市水道サービス公社において、一般の利用登録者に発行するID及びパスワードについて、誤って管理者用のものを発行したことが原因です。
4.対応
事態把握した直後の当日10時10分にサイトを閉鎖し、以降、利用登録者による管理者サイトの閲覧はできない状態としたうえで、管理者サイトへのアクセス状況の調査を行いました。管理者サイトの閲覧が可能となっていた時間帯には、利用登録者から2件のアクセスがあり、その者を特定の上、直接連絡を取りましたが、両名とも目的内での利用にとどまっていることを確認しています。
今後、取り急ぎ全ての利用登録者(95名)に、1人ずつお詫びのうえ、新たなパスワードを発行します。
5.再発防止に向けた取り組み
水道局として、神戸市水道サービス公社に対して、パスワードの発行等、個人情報に係る作業に関してダブルチェックの確実な実施等、組織的なチェック体制の再確認と徹底を図るとともに、情報セキュリティの重要性、情報資産の厳格な取り扱いについて改めて指導を行い、再発防止に努めてまいります。

引用元 神戸市

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-9(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

神戸市は、神戸市水道Web閲覧システムにおいて、登録利用者の一部が管理者向けの画面の閲覧が可能であったことを発表した。管理画面からは95名分の個人情報を含む情報が閲覧できたという。アカウントの作成と権限の付与は、システムのセキュリティを保つための重要なイベントである。
今回の事例では誤って管理者向けの権限を持つアカウントを発行したと発表されている。

具体例:

アカウント作成を人手で行う場合には正しい手順の確認、システムで行う場合には正しく動作をしているかのテストが重要である。また、システムによっては柔軟なアクセス権限の設定が可能な場合もある。
あらかじめ権限設定の仕様をよく確認し、最小の権限が与えられるよう設定が必要だ。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。