富士通の政府認定クラウドに対し再監査手続き開始

富士通クラウドテクノロジーズのパブリッククラウド、「ニフクラ」と「FJcloud-V」の2つのサービスは、今年の5月にロードバランサ―の脆弱性を悪用した不正アクセスを受けて情報(サービスのコントロールパネルやAPIへのアクセス情報、一部ユーザーのデータや認証情報)が盗まれた可能性があることを発表しています。

この発表を受けてデジタル庁や総務省などによって構成されるISMAP運営委員会は8月29日にこれらのクラウドサービスに対して「政府情報システムのためのセキュリティ評価制度」の登録規則に基づく再監査の手続きを始めたことを発表しました。

発端となった不正アクセスは5月7日午後3時ごろから9日午後10時30分ごろの間に発生しています。攻撃者はロードバランサ―(負荷分散装置)メーカーが公表した脆弱性を悪用して侵入、富士通クラウドテクノロジーズ社の防御システムの設定不備も原因になった可能性があると公表されています。対処については、5月11日に本脆弱性を回避するための設定を当該ロードバランサーに実施、そして、5月12日にインターネット側のネットワーク機器においてアクセス制御(多層防御)を実施しています。

日経XTECHによれば、ロードバランサ―はF5ネットワークス社のF5 BIG-IPである模様です。今回の脆弱性はロードバランサ―上で任意のコマンドを実行できるという深刻なものでした。F5ネットワークス社では5月4日にアドバイザリを公表するとともにパッチをリリース、その後、脆弱性の実証コードが公開されています。

今回は5月7日に不正アクセスが発生していますので、脆弱性(CVE-2022-1388)の公表があったあと、2日間でパッチの施行まで終わらせておけば防ぐことができたことになります。

デジタル庁や総務省は最初の政府情報システムへの登録時の評価プロセスに不備がなかったことを確認する必要があると思います。また、今回の再監査でも十分な対策を実施できていることを確認することを期待しています。(富士通クラウドテクノロジーズ社のプレスリリースから再監査開始まで、なぜ4ヶ月も時間がかかったのかは少し不信に思っています。

また、富士通クラウドテクノロジーズ社については、真の原因を追究して再発防止策を打つことが大切です。今回は攻撃を受けてからプレスリリースするまでの期間も短く、報道に対する姿勢という面では良かったです。「日本のクラウドはダメだ」という嘆きの声もありましたが、このような情報の透明性は大事にしていくべきだと思います。

今後も日本の各社によるクラウドが試練の波を乗り越えつつもグローバルで通用するものに成長していくことを期待しています。

コメント

タイトルとURLをコピーしました