事例を基に解説 - Classiがセキュリティインシデント対応から得た学びとは?

●インシデント関連情報の公開に大きな反響
セキュリティインシデントの可能性は日に日に高まっている。一度インシデントが発生すれば、顧客や取引先など多くの人に影響を及ぼしかねない。だが、どんなに対策をしていたとしても起き得るのがインシデントだ。では実際にインシデントが発生してしまった時、どのような対応を取ることがベストなのか。

9月27日、28日に開催された「TECH+ セキュリティ2022」では、Classi サイバーセキュリティ推進部の井浦博人氏が登壇。「組織視点から読み解くインシデント対応とセキュリティ強化策」と題して、同社で実際にセキュリティインシデントが発生した際の経緯やその後の具体的な対策、インシデント関連情報を公開する意義などについて解説した。
○インシデント関連情報の公開に大きな反響

Classiは、ベネッセホールディングスとソフトバンクのジョイントベンチャーとして2014年に誕生し、教育プラットフォーム「Classi」等の開発・運営を行っている。そのデータベースにセキュリティインシデントが発生したのは2020年4月のことだ。SRE（Site Reliability Engineering）からのアラートを受けて、「データベースから重要な情報が抜かれたことが発覚した」（井浦氏）のだという。

発端は外部から従業員宛に送られてきたフィッシングメールだ。これにより、攻撃者は認証情報を得て開発プラットフォーム「Github」内に不正侵入。保存されていたAWS認証鍵を窃取し、本番サービス環境への不正アクセスを行ったのである。さらに攻撃者は不正なサーバを構築し、データベースへ不正アクセスしていた。同社ではこのインシデントの発生を受け、フィッシングメール対策やGithub/AWSの認証強化をはじめ、数々の技術的な対策を講じてきた。これらの内容は「インシデント対応の参考になれば」（井浦氏）と、同社のWebサイト上で公開されている。