【オフショア開発失敗事例】 セキュリティ情報漏洩トラブル
2022/10/17
オフショア開発の基本この失敗事例は、システムに使用しているメールサーバーの情報が漏れ、第三者に迷惑メールを送信されるシステムセキュリティに関する失敗事例です。
失敗の解説
使用していたAWSのメールサーバーのIDとパスワードの情報が漏れ、システムのメールサーバーから不審なメールを何万通も送られるトラブルです。
オフショア開発会社に対応を依頼しましたが、対応できない旨を伝えられて、困っている段階で弊社にお問い合わせがありました。
メールサーバーの情報が漏洩するとシステムのメールサーバーを使用し犯罪に使用される不審なメールを送信される恐れなどがあります。
またメールサーバーが不正利用に利用されている動作があるとメールサーバー自体がサービス業者から使用不可になる場合やメールサーバーの費用が高くなる恐れがあるため、早急に対応が必要です。
リリース後にトラブルが継続していたためユーザーの信用を失う恐れがある可能性があるため、お客様は出来るだけ早急な対応を求めていました。
プロジェクトの主な問題
オフショア開発の技術不足が原因になった失敗事例です。
主にAWSやシステムのセキュリティ対応が未対応だった点と運用時を想定していないシステム設計が問題の原因となりました。
確かにセキュリティ対策とシステム運用は、費用がかかるため限られた費用の中で対策は後回しになります。
しかし、今回のようなユーザーの信用に関わるセキュリティトラブルはサービスの継続性の根幹を揺るがすものでもあります。
オフショア開発会社にセキュリティ関連の対策について、事前に確認する必要がありました。
具体的な対策方法
開発前の設計の段階でセキュリティ対策や運用の実績を確認する事が必要でした。
しかし、オフショア開発会社の中には、実績などの信憑性にかけるオフショア開発会社も少なくありません。
そのため、実績があることは鵜呑みにせず、オフショア開発会社にセキュリティ対策・運用方針などの提案書を作成してもらって、依頼企業側で開発者による確認をすることが必要です。
その後のプロジェクトの経過
開発を担当したオフショア開発会社は対応が難しいとのことで、弊社のセキュリティ・サーバー監視対策チームにて対応を開始しました。
まず、現在のトラブルを止めるために、漏洩している可能性が高いメールサーバーのIDとパスワードを変更しました。
ログイン情報の変更は、開発を担当した開発会社でも試しても、しばらくするとメールサーバーの不正利用が始まるため、応急処置になります。
対策が完了するまで定期的に変更するスケジュールを作成しました。
次に情報漏洩の可能性がある箇所の調査を開始しました。
AWSのセキュリティ情報、プロフラミングコード管理ツールGithub、開発環境・ステージング環境・本番環境のセキュリティチェックを行いました。
セキュリティ漏洩の可能性がある箇所とAWSの設定不十分の箇所を発見しました。
次に対応の順番ですが、セキュリティ対策は費用がかかります。そのため、ある程度の可能性が高い箇所に対策を絞る必要があり、セキュリティトラブルが継続するようなら、段階的にセキュリティ対策を追加していく必要があります。
そのため、対策の優先順に分け、段階的に対応していきました。
最初の対策でメールサーバーの不正利用が止まったため、セキュリティ対策を終了しました。
結果的にかなり費用を抑えた形で対策が完了しました。
しかし、運用面での対策が出来ていなかったため、システム監視の対策を行い、同じようなセキュリティトラブルが起こった際は、すぐに通知があるように対策して、この事例は完了しました。