弊社サイトのウイルス感染問題に関する「再発防止策の完了及び社内処分」について
弊社は、平成18年9月27日に発生いたしました「弊社サイトのウイルス感染問題」に対し、代表取締役社長である梶並伸博を責任者とする社内プロジェクトチームにて、発生経過の分析と問題点の洗い出し並びに再発防止策の徹底的な検討と実施を進めてまいりました。
平成18年10月5日に「弊社サイトのウイルス感染問題に関する再発防止策について」を暫定対応として発表いたしましたが、平成18年11月15日をもって本再発防止策の対応が完了いたしましたので、本件の社内処分と併せ、下記のとおりお知らせいたします。
- 本件発生の問題点と再発防止策について
-
(1)ウイルス検出能力について
- 【問題点】
従来の体制ではメール、インターネットアクセス、環境監視すべてを単一のウイルス検査ソフトメーカーの製品に頼っており、同製品の検出能力に大きく依存する状態となっていました。
- 【再発防止策】
-
ウイルス検出能力の向上
作業環境を監視するウイルス検査ソフトの検出性・効率性を考慮した上で、5種類に増強し、各検査ソフトの新種ウイルスに対する対応速度の差を補完いたしました。 -
ウイルス検出の早期化の工夫
社内のネットワーク上にウイルスのターゲットとなりやすい領域を用意し、毎時1回以上のウイルス検査並びに改ざん検査を行い、異常時には全社員宛に警告メールを発送するようにいたしました。
-
- 【問題点】
-
(2)未知のウイルスへの対応
-
【問題点】
ウイルス検査ソフトに検出されない未知のウイルスへの対応策は、構築しておりませんでした。 -
【再発防止策】
ウイルス感染の可能性のあるファイルへの対応
未知のウイルスによるファイルの改ざんを検出するために、社外からの配布用ファイル受領後なるべく早期の段階でファイルの同一性確認コードをとり、作業上の要所にてファイルの受領時点との同一性を確認します。同一性の確認が取れないファイルが存在する場合は、公開準備サーバから公開サーバへの転送を禁止します。
-
-
(3)公開サーバへのファイル転送処理について
-
【問題点】
ライブラリサービスの配布ファイルはその数が極めて多いため、公開準備サーバに公開イメージ(公開サーバと同等なファイル構造)を作成した上で公開サーバへ転送する形式をとっております。従来は、サービス運営上、最も問題の少ないと思われる深夜時間帯に、自動処理により新しいファイルを公開サーバへ転送していました。 - 【再発防止策】
-
自動転送の停止
無人自動転送による公開サーバのウイルス感染を防止するため、有人対応に変更いたしました。 -
公開ファイル転送時の環境安全性の確認
公開サーバへのファイル転送時は、転送依頼者が安全性の確認シートに基づき確認を実施後、転送依頼を行い、転送作業実行者は同シート所定の確認手順が実施されたことを確認の上で転送作業を行うように変更いたしました。
-
-
-
(4)公開準備サーバの独立性の確保
-
【問題点】
従来は、作業の利便性の観点から公開準備サーバ上の作業場所はWindowsネットワークからの接続が可能となっており、Windowsネットワークを介して感染するタイプのウイルスに対して配布用ファイルが無防備な状態となっていました。 -
【再発防止策】
Windowsネットワークによる接続手段の廃止
社内環境と公開サーバとの中間的位置にある公開準備サーバは社内作業用サーバとは別の独立したマシンを使用し、Windowsネットワークによる接続手段は設けない設定に変更しました。これにより、ファイルの公開にかかる作業の終了時からファイル転送が完了するまでの間のネットワーク感染型ウイルスによる感染・ファイル作成を回避いたします。
-
-
(5)ウイルス検出時の対応方法の整備
-
【問題点】
ウイルス感染ファイルが検出された場合の対応方法が十分に整備されておらず、対応作業に一部混乱が生じる結果となりました。 -
【再発防止策】
対応手順書の作成と周知徹底
ウイルス検出時の対応手順、感染確認後のサービス停止手順等の対応手順書を作成し、全役職員へ周知徹底いたしました。
-
●本対策の実施により、弊社内で発生したウイルスの活動によって感染したファイルが公開される危険はほぼなくなったものと考えております。
ただし、本対策によっても弊社へ登録・納品された時点で未知のウイルスに感染していたファイル、市販のウイルス検査ソフトによって検知できない形態でウイルスが隠されているファイルが登録・納品時のままの状態で公開される可能性は残ります。
弊社では今後ともより高い安全性を確保するための改善努力を続けてまいります。
-
- 社内処分について
今回の件に関し責任を明確にするため、管理監督責任について以下の処分を実施いたしました。
代表取締役社長 :役員報酬20%減額を1ヵ月
担当取締役 :役員報酬20%減額を1ヵ月
その他常勤役員 :役員報酬10%減額を1ヵ月
本件に管理責任のある従業員 :月額報酬10%減額を1ヵ月 - 業績への影響について
現時点では、平成19年3月期決算への影響は軽微であると思われますが、業績への重要な影響を及ぼす新たな事実が発生した場合には、速やかに開示いたします。
本件により、利用者・作者・取引先並びに投資家の皆様には、多大なご迷惑・ご心配をお掛けしたことを改めて心よりお詫び申し上げます。
併せて本件に関しまして、皆様より貴重なご意見、ご要望、ご叱責をいただきましたことを、ここに深く感謝申し上げます。
今後は社員一同、より一層強化したセキュリティ管理体制の下でサービス運営を実施し、皆様に安心してご利用頂けるサービスを提供することを誓い、皆様からの信頼回復に努めてまいります。