ファーストサーバ、事故調査委の報告書概要を公開 - 約10年続いた既定外作業が原因
6月にファーストサーバのホスティングサービスにおいてデータの消失や漏洩が発生した問題で、同社は第三者調査委員会による報告書の概要を公表した。
同調査委は、弁護士やセキュリティ専門家など3名により構成された組織。設置された28日より7月30日にかけて、役員や従業員に対する事情聴取や一般の公開情報をもとに事故の調査を実施し、報告書として取りまとめた。
今回の調査では、今回の問題について6月20日夕方ごろに発生したメンテナンスによるデータ消失と、その後発生した消失データの復旧ミスによるデータ流出について、2件の事故へ分割して検証した。
最初に発生した流出事故については、システム変更時のマニュアルが存在したものの、担当者がマニュアルに既定された「配布システム」を利用せず、日常的に独自に用意したプログラムを利用していたことに起因するという。
事故の原因となったプログラムは、過去に利用したプログラムを改変したものだったが、一部コマンドを消し忘れる記述ミスが存在。検証も行ったが、問題の記述は検証対象のサーバに影響ないため、不具合に気が付かなかった。
また目的とする作業について、空ファイルを作成する内容でリスクが低い作業と判断。本来必要とする上長の許可を得ず、さらにマニュアルに記載されている先行ユーザーへ適用するプロセスを省略。本番環境とバックアップディスクに対して適用したことから消失に至ったとしている。
こうした運用は、マニュアルに既定されている「配布システム」が導入される以前の約10年前から行われており、上長も容認していた。これまでも大きな事故は発生していなかったという。
同調査委では、積極的な過失はあるものの、これまでの事故発生状況から事故の予見は困難で、「故意」や「重過失」によるものではないとし、「軽過失の枠内において比較的重度の過失」と結論付けた。
一方、復旧の際に関係ないユーザーへデータが混入した問題については、サーバへアクセスした形跡が一部残っているものの、他顧客データが閲覧できる状態だったとの連絡は受けておらず、情報が漏洩した事実は確認されていない状況であることを報告。
復旧作業にあたっては、オープンソースのプログラムを利用。技術者には一般的に認知されている復元ファイルで不整合を生じる可能性について、事故当時に役員や職員は認識しておらず、技術的な検討が不十分なまま実施したことにより問題が生じた。
過失内容について、同調査委は不具合を想定していない復旧作業や、データ消失を想定したマニュアルが事前に準備されていなかった点を挙げる一方、消失事故と同様に重過失や故意でななく、「軽過失の範囲内における比較的重度のもの」とした。
今回の報告書では、これら事故について同調査委では再発防止策の妥当性についても検証を実施。同社が提示した内容について一般的なレンタルサーバ業者における適切なものとして評価した。同社は報告を受け、再発防止策についても近日中に発表する予定。
(Security NEXT - 2012/08/02 )
ツイート