富士通のサーバがDoS攻撃を受けた。島根県にあるサーバで、複数の自治体システムが構築されていたらしく、各自治体システムが動かなくなる、というそれなりに大きな影響が発生したようだ。対象サービスは恐らくこれ。
自治体向けSaaS型電子申請ソリューション : 富士通 |
仕事が早い人がいて、既に経緯などがまとめられている。
富士通データセンターへDoS攻撃…原因と理由【200自治体に影響】 – NAVER まとめ |
技術的なことはさておき、こういう事態が起こると「ああ、やっぱりシステムを外に出すと危険かもしれない」と発想する人が増えるんだろうか。
一般的にはデータセンターはセキュリティ上堅牢な仕組みで運営されているし、地盤強度が高い場所を選んだり、建物を免震構造にしたりして、自前で設置するよりは安全レベルは上がると言われている。そして、仮想化で複数の機器をシェアすることで「割り勘効果」を生み出して、費用減少を実現する。
日経の記事を一部引用すると、
DoS攻撃を防ぐには攻撃意図を持った通信信号を瞬時に判断し除外するなど技術的には対応は可能。ただ「サービス価格が跳ね上がり、低価格というクラウドの魅力が薄れる」(関係者)という。
富士通のサーバーに攻撃 クラウドの安全対策急務 :日本経済新聞
これはある種真実だ。安くて万全な対策というのはないので、対策をやればやるほど、それはコストに跳ねる。今回のセキュリティレベルが問題なのだとすれば、こういうセキュリティリスクが想定されておらず、コストに転嫁されていなかったのだろう。
もっといえば、被害を受けた「電子申請サービス」は、県民・市民から行政サービスに対して申請を受けるものであり、あればもちろん便利だし軽視するつもりもないけれど、迅速に復旧しないと人命に関わる、というものはほとんど含まれていないと思われる。紙による代替手続きに業務移行できれば、大きなレベルでの被害はあまりなかったと推測する。
今回わかったのは、「セキュリティレベルは高いので安全ですよ」といっても、攻撃されれば業務に影響を受ける可能性はゼロではない、という事実。業者のセキュリティ対策をチェックすることも大切だけど、BCPなんかをつくって、業務継続性を高める体制を整えることがもっと求められるんじゃなかろうか。ちなみに、地方自治体のBCPの策定状況は低い。BCP策定団体(平成22年04月01日)は、都道府県 15団体(31.9%)、市区町村 102団体(5.8%)。
(総務省|電子自治体|地方自治情報管理概要(PDF)より)
恐らく震災の影響もあって、BCPの策定比率は上がるだろうけど、本当に使えるような内容にするために定期的に訓練したり見直したり、というようなBCMができるかどうかは、その次の課題。
参考:DoS攻撃の手口を知る