セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 品質の一部であるセキュリティと責任共有モデルの考え方

品質の一部であるセキュリティと責任共有モデルの考え方

品質の一部であるセキュリティと責任共有モデルの考え方
目次
  • 今回の解説ニュース
  • 修正やアップデートの実施でデータ消失が起きる可能性はある
  • セキュリティインシデント発生の際は、誰にどのような責任が?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

日本HPEが「弊社100%の責任」、京都大学のスパコン 77テラバイト3,400万ファイル消失

国立大学法人京都大学学術情報メディアセンターは12月28日、スーパーコンピュータシステムのファイル消失について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

バックアッププログラムの不具合で、データが意図せず削除されてしまったということです。不具合の影響を回避する方法と、セキュリティ対策やインシデントの責任に対する考え方について説明します。

今回のインシデントは、ストレージをバックアップするプログラムの不具合で、大容量ストレージの一部データが意図せず削除されてしまったということです。原因として、バックアッププログラムの機能改修にて、不用意なプログラムの修正とその適用手順に問題があったとされています。

対策として、バックアップ処理を停止しており、プログラムの問題を改善し再発しない対策をした上で1月末までにバックアップを再開する予定です。また、バックアッププログラムのベンダーは100%の責任があることを認め、補償についてはユーザーの意向に応えるということです。

修正やアップデートの実施でデータ消失が起きる可能性はある

プログラムの修正でデータの消失や不具合が発生することはありえます。原因として、ソフトウェアに対するテストが十分に実施されていないことが考えられます。

ソフトウェアの機能が正しく動くためには、求められている仕様を満たしているか、どのように動作するかなど、十分なテストを実施することが必要です。例えば、今回のバックアッププログラムであれば、更新があったファイルをコピーして、不要なバックアップログを削除する、という仕様が求められます。この機能が十分にテストされていなかったために、バックアップログではなく、更新されていないファイルが削除されてしまい、今回のインシデントにつながったと言うことができます。

また、ソフトウェアの仕様を前提とせず、どのように動作するかという観点でテストすることも必要です。例えば、ログイン画面は仕様上、正しいIDとパスワードが入力された場合にログイン処理が実行され、間違った場合はエラー処理が実行される、という仕様が求められます。ここで、IDの代わりにSQL文を入力した場合にどのように動作するかというテストは、セキュリティの観点で言うSQLインジェクションのテストです。つまり、セキュリティもソフトウェア品質の一部であること言うことができます。

セキュリティインシデント発生の際は、誰にどのような責任が?

インシデントが発生した際の責任を考える場合に、特にクラウドサービスには責任共有モデルという考え方があります。

負うべき責任を可視化する「責任共有モデル」
クラウドサービスの責任共有モデルとは、クラウド事業者と利用者がクラウドサービスで責任を負うべき範囲を可視化したものです。契約時にクラウド事業者と利用者が負うべき責任の範囲を定めることで、双方の役割を明確に認識することができます。
多くの場合は事業者側の責任において管理されるが
例えば、多くのクラウドサービスでは、施設や電源、ネットワーク、ハードウェアなどはクラウド事業者の責任において管理されます。さらに、IaaSの場合はOSが、PaaSの場合はミドルウェアもクラウド事業者の責任において管理されます。
全てのサービスが事業者側の責任というわけではない
では、ソフトウェアをサービスとして利用できるSaaSの場合はすべてクラウド事業者の責任において管理してくれるかというと、そうではありません。具体的には、SaaSを使うためのIDやパスワード、権限設定などデータの管理は利用者の責任において行う必要があります。

今回は品質の一部であるセキュリティと責任共有モデルの考え方についてお届けしました。インシデントによっては「100%誰の責任でもない」ということもありえますので、責任を明確化する以上に、利用者保護を最優先に考えたセキュリティ対策を考えていきましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ