お知らせ
2021年12月9日
富士通株式会社
プロジェクト情報共有ツールへの不正アクセスについて(第四報)
当社プロジェクト情報共有ツールProjectWEBへの不正アクセス(以下、本事案)および、ProjectWEBを停止したことにより、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をお掛けし、また、本事案の調査過程において被害範囲の把握に時間がかかり、それを踏まえた対策の実施に時間を要していることを、深くお詫び申しあげます。
当社では、本事案の調査において判明した「不正アクセス防止対策」、「ログの収集、管理方法」、「情報管理」等の問題を受け、本年10月1日付にて専任のCISOを任命し、新たな情報セキュリティ体制の下で再発防止策を策定しております。今般、当社が検討を進めておりました、ゼロトラストに沿った情報セキュリティ対策が実装される等、本事案の課題も踏まえた新たなプロジェクト情報共有ツール(以下、新ツール)の導入の準備が整いましたので、当社は新ツールへ移行することを決定いたしました。これに伴い、今般、ProjectWEBの利用終了を判断いたしましたのでお知らせいたします。
なお、本事案の原因に関しては、脆弱性を悪用した侵入、運用管理者や一般利用者の端末のマルウェア感染等、これまであらゆる可能性を考慮して調査を実施し、当社内においてはその調査は既に完了しております。その結果、ProjectWEBに数種類の脆弱性が存在していたことが確認されており、悪用された脆弱性の特定には至りませんでしたが、第三者がそのいずれかを用いるなどして、正規のIDとパスワードを窃取し、これを使用することで正常認証および正常通信と見える形で、ProjectWEBに対して外部から不正アクセスを行ったものであると判断しております。
現在、本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。当社といたしましては、検証委員会の検証結果や内閣サイバーセキュリティセンター様等のご助言も踏まえて、改めてしかるべき時期に本事案に関する総括を行うとともに、新ツールについても今後の検証結果に基づくご指摘事項への対応と技術や脅威動向の変化に応じた必要なセキュリティ対策向上を図ってまいります。
記
1.新ツールについて
当社ではリモート開発が中心となった現在においても、お客様のニーズに合わせた価値をタイムリーに導入するためにサービスデリバリーの変革を進めております。その一環として、プロジェクト運営の効率化とセキュアな情報交換を両立させるための開発基盤である新ツールの運用を開始し、安心安全なプロジェクト運営を実現いたします。
(1)基本機能について
ドキュメント管理機能(コンテンツ管理、ファイル共有、ファイル検索等)、コミュニケーション機能(チャット等)、プロジェクトマネジメント機能(工程・タスク管理、品質管理、コスト管理等)等を基本機能といたします。なお、ドキュメント管理機能を先行導入し、来年度以降、コミュニケーション機能、プロジェクトマネジメント機能の導入等、機能拡充を図ってまいります。
(2)不正アクセスに対するセキュリティ対策
ProjectWEBには多要素認証が採用されておらず、また、不正アクセスを早期に検知する仕組みも十分ではありませんでした。これを踏まえ、新ツールでは多要素認証を用いた認証強化による不正ログインの防止を行うとともに、複数のログの収集・管理も一元的に行うことで不正アクセスが疑われる不審な挙動を監視する等不正アクセスの早期発見を可能としています。また、ログの一元管理により、不正アクセスを受けた際の原因究明や影響範囲調査への対処もより迅速になると考えております。なお、これらの機能にとどまらず、技術や脅威動向の変化に応じた必要なセキュリティ対策の見直し・向上を図ってまいります。
(3)新ツールへのデータ移行時の情報管理強化施策
新ツールへの移行にあたっては、移行データの暗号化、秘密度に応じたアクセス制御、移行対象データの選定等を実施することで、現在運用停止中のProjectWEBに保存しているお客様情報を安全に新ツールへ移行いたします。
(4)今後の対応について
ProjectWEBで利用していた機能をお客様が必要とされる場合は、新ツールを選定いただくことも可能です。その際には個別にご相談をさせていただきます。
2.再発防止に向けた全社における情報管理の強化施策について
本事案における調査の過程で、あるプロジェクトに関するデータが別のプロジェクトのデータ領域に保存されていた事例や、プロジェクト終了後も当該プロジェクトに関するデータが長期間保存されていた事例等が確認されております。これを踏まえ、CISO直轄組織にて改めて現状の情報管理の在り方も含めて見直しを行い、従来の情報管理施策に加えて、新たな全社施策を追加いたします。
(1)運用管理の厳格化
従来実施していた年次点検では各プロジェクト部門が自主点検を実施し、その結果を第三者視点にて確認をする方法をとっておりましたが、今般、これに加えて、他社秘密情報や個人情報を保有しているプロジェクトの一部において、CISO直轄組織がサンプリングによる現物確認を実施し情報管理を強化いたします。
(2)部門ルールの社内確認の強化
従来は、情報管理規程等の社内規程を踏まえ各プロジェクト部門が部門内の情報管理ルールを策定しておりましたが、今般、これに加えて各部門が作成した部門ルールをCISO直轄組織が第三者視点にて確認および追加・見直しを指示することにより、契約に基づいたお客様情報の適正利用を徹底いたします。
(3)運用状況のモニタリング
従来は、各部門における情報管理の状況について年次点検のタイミングで自主点検をもとに把握・対処をしておりましたが、今般、各部門における情報管理の状況を可視化し、各部門からもモニタリングできる仕組みを導入することにより、問題の早期発見に努めてまいります。
(4)教育・周知の強化
更なる危機意識と情報管理に対する意識向上を図るべく、従来から定期的に実施している全社の情報管理教育にタイムリーかつ具体的な事例を盛り込み社内教育を強化いたします。また、定期的な社内への情報発信により、情報管理に対する啓発と周知徹底等を行います。
以上
関連リンク
- 2021年5月25日掲載「プロジェクト情報共有ツールへの不正アクセスについて」
- 2021年8月11日掲載「プロジェクト情報共有ツールへの不正アクセスについて(第二報)」
- 2021年9月24日掲載「プロジェクト情報共有ツールへの不正アクセスについて(第三報)」
本件に関するお問い合わせ
富士通お客様総合センター
受付時間:平日9:00~12:00および13:00~17:30(土曜日・日曜日・祝日・当社指定の休業日を除く)
お問い合わせフォーム
このお知らせに記載された内容は、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。
