企業情報漏洩ニュースまとめ - serverspec でテスト自動化し予防する
代理店同士をつなぐシステムで東京海上社員による設定ミスがあった。287の代理店が管理する他の生損保を含む顧客情報を、本来アクセス権限を持たない一部の代理店が閲覧できる状態に
『Ansible』定義からサーバ種別を判別してデータ投入やリカバリーなどの操作をする、設定が終わったら『Serverspec』などのテストツールでテストするといった流れ
人の手による作業が介在することでスピードが遅くなるなど自動化の効果が薄れてしまう。
作業漏れやミスにつながりやすくなっていた。
テストを自動化することで、運用負荷の軽減はもちろん、「問題、不具合発生から再発防止までのループを素早く回せる」というメリットもある。
「インフラ構築における問題としてサーバの設定漏れがある。初期設定が間違っている、初期設定はよかったが一時的に設定を変更した後で戻し忘れる、設定した後の確認が漏れるといったことはあり得る。こうした問題に『ダブルチェックを頑張ります』といった対応を取りがちだが、それをずっと続けることは大変だ(橋本氏は“しんどい”と表現した)。人間は間違うものだ。どうやって機械的に作業の保証するのかが重要となる」
名簿などが少なくとも20年7月~23年8月までネット上で閲覧可能な状態となっていた。この期間中、少なくとも3種類のランサムウェア攻撃を受け、暗号化されたファイルがあることも確認
https://atmarkit.itmedia.co.jp/ait/articles/2310/19/news001.html?_gl=11v6d6si_gaODA3MjAyMTI1LjE2OTk5NTk3NTM._ga_JZCZP0LYY7*MTY5OTk2OTMyOS4yLjEuMTY5OTk2OTM2NS4yNC4wLjA.#l_ighsdgg004.jpg&_ga=2.77501597.969430252.1699960718-807202125.1699959753
構成管理と脆弱(ぜいじゃく)性スキャンの自動化
・ソフトウェアやアプリケーションがデフォルト設定のままにである
・不適切な設定
上記のような情報漏洩の対策に共通しているのは、テストやスキャンの自動化です。
InSpecで、脆弱性・設定ミス・設定漏れのテストを自動化することができます。
Discussion