内から内への侵入リスクを下げる
――2013年のインシデント後、システム面での対策はどう強化されたのですか。
当社では2004年にもグループ内(Yahoo! BB)で内部不正による情報漏えいのインシデントを経験しています。その関係もあり、システムを大きく3つのエリアに分け、それぞれのエリアをデータの重要度に応じて多段に分け、重要データを保護するといった施策をかねてから講じてきました。
例えば、サービスのエリアに関して言えば、Yahoo! JAPANのサービス利用者がアクセスするウェブサーバを中心にしたエリア、サービス利用者の個人情報などを扱うエリアなどを多段に分けて、重要データについてはより奥深いエリア──つまりは、外部のインターネットからのアクセスができないエリアに配置するといった施策を展開してきたわけです。
その中で比較的手薄だったのが、社員が使う業務エリアから他エリアに対する不正侵入・不正アクセスへの備えです。
標的型サイバー攻撃によって社員の端末に脅威が侵入すれば、業務エリアからサービス用の重要サーバへの不正侵入・不正アクセスが起こりえます。ですから、そうした「内から内へのアクセス経路」についても区分けをより明確にし、重要データを扱うエリア(以下、重要エリア)については、たとえ社内からのアクセスであっても、いくつもの"関所"を通過しなければ入れないようにしたのです。
もちろん、こうした対策で重要エリアに脅威が侵入するリスクがゼロになるわけではありません。ただし、社内の端末から重要エリアに入るためのハードルを高くすれば、社内端末を操る攻撃者が重要エリアに侵入するまでの時間は長くなりますし、侵入のためにより高度な手法が必要になります。
また、重要エリアと他とを区分けし、そのエリアに対するアクセス経路を狭めることで、監視のポイントの絞り込みや不正侵入検知の精度や効率性を高めることができるのです。
――「アクセス経路を狭める」とは、具体的にどのような対策ですか。
単純に言えば、重要エリアに対するアクセス権限者を必要最低限の人間に絞り込むということです。さらに、最重要エリアについてはもう一段、認証のハードルを上げてアクセスの絞り込みを行う。こうすることで重要データの安全性が一層高まるのです。
