ページの先頭です。 メニューを飛ばして本文へ

HOME > 四万十町施設予約システムにおけるインシデント報告及びお詫びについて

  • 防災バナー
  • 夜間・休日診療
検索コーナー
情報ピックアップ

  • 2023年5月広報更新
    四万十町通信2023年5月号
    四万十町通信2023年5月号

    • 町民のひろば
    四万十町の人口

    男性 7‚490人
    女性 8‚122人
    15‚612人
    世帯数 8‚147世帯

    2023年4月30日現在

    • ペーパークラフト
    • 河川監視カメラ

    四万十町施設予約システムにおけるインシデント報告及びお詫びについて

    担当 : にぎわい創出課 / 掲載日 : 2023/04/14

     四万十町施設予約システムにおいて、当システムの利用者登録をしていただいているお客様の個人情報が、他の利用者から閲覧可能となる事象が発生いたしました。
     このことにより、原因解明及び影響範囲の調査、復旧作業等のためシステムを一時停止することとなり、利用者登録をしていただいていたご登録者の皆様並びに関係者の皆様には、大変ご迷惑とご心配をお掛けしましたことを深くお詫び申し上げます。
     以下、インシデントの調査結果および判明した原因等につきまして、下記のとおりご報告いたします。

    システム構築委託業者

     タイムカプセル株式会社

    事象が発生したシステム

     四万十町施設予約システム

    <障害の内容>

     利用者登録をしているお客様の個人情報が、他の利用者から閲覧可能となる事象が発生

    障害の原因

     サーバーに採用しているAmazonWebServicesのCDNサービス「CloudFront」のキャッシュポリシーを初期設定の最小TTL1秒(1秒のみ全てのページ情報をキャッシュ)としてしまったため、意図しない情報がキャッシュされて使用されていた。このことから、複数ユーザーが同じURLにアクセスした場合、一番最初にアクセスしたユーザーのページ情報がキャッシュされすべてのユーザーに表示される状態となっていた。

    障害の対応経緯

    2023/ 1/ 6 17:35 事象発覚 
          ※当システムをリリースした2022/12より同事象が発生する状態となっていた。

    2023/ 1/26 システム停止(ログイン機能および予約機能を停止)

    2023/ 1/27 原因とその対応策について構築委託業者から本町に第一報報告。

    2023/ 1/30 本町と構築委託業者とオンラインにてインシデント報告会議を実施(第1回)
          →調査体制と項目一覧のまとめ、ログ解析、サーバー見直し、
           403エラー詳細の調査続行、情報漏洩の有無を続報

    2023/ 2/10 現在の取得ログで情報流出の合否およびその範囲が特定できないことが判明  
          ※漏えいの可能性があるのは「名前」のみ

    2023/ 2/15 本町と構築委託業者とオンラインにてインシデント報告会議を実施(第2回)
          →ログ解析結果の報告、システム全体の見直しとその対応

    2023/ 2/22 構築委託業者よりログ解析による個人情報漏洩の合否について、最終結果報告
           書提出

    2023/ 3/15 本町と構築委託業者とオンラインにてインシデント報告会議を実施(第3回)
          →追加で見つかった不具合および対応状況、ログの対応、今後のスケジュール

    2023/ 3/20 構築委託業者による開発環境での不具合の修正とテスト完了

    2023/ 3/28 本町にて開発環境での検収を実施完了

    2023/ 3/30 サーバー設定およびログの見直し、合わせて当システム全体の再テストを実施

    2023/ 3/31 上記テストの合格を以て、システム再開準備完了

    漏えいの可能性のある個人情報と最大人数

    1.名前
    2.当システムに登録いただいているユーザー9名分
      ※漏えいの可能性があったのは「名前」のみ。
       ただし、情報流出の合否を当時のログで判断できないことが判明。
    ※ユーザー9名については、個別に対応済。

    障害の対応および再発防止策

    (構築委託業者:タイムカプセル株式会社より)
     
    1. CDNサービスのキャッシュポリシーを無効といたしました。
      →当初バックエンド側ではCache-Control: privateと設定しておりました。
       その上でCloudFront側のキャッシュポリシーをCaching disabled、最小TTLを0に設定
       いたしました。
      →今後、同種の障害を発生させないようCDN設定手順を見直し、またクロスチェック体制
       を整備するとともにサーバー設定のレビューとテストを徹底してまいります。

    2.キャッシュ無効とすることで全てのログを取得、不足していた操作ログも取得するように
      いたしました。
      また、当システム全体を見直し発見された不具合についても全て修正いたしました。
      →今後、必要な機能やテストに抜け漏れがないよう、設計やテスト項目の基準を策定し、
       クロスチェック体制を整備してまいります。

    3.本件の原因と課題を共有いたします。
      →同時に、障害の緊急度を正しく判断しシステム停止を決断し打診できるよう、障害発生
       時の社内フローとその体制を整備してまいります。
       また、社内メンバーに対する情報セキュリティ教育も改めて実施してまいります。
      
     お客様及び関係者の皆様に多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。
     お客様のご不安を解消すべく対策と再発防止策を進めてまいります。


    【タイムカプセル株式会社 ホームページリンク】

    弊社開発の「四万十町施設予約システム」における個人情報等流出およびシステム停止に関するお詫び

    四万十町施設予約システムにおけるインシデント報告及びお詫び

    <本件に関するお問合せ先>
     タイムカプセル株式会社
     メールアドレス:info@timecapsuleinc.org


    このページに関するお問い合わせ

    にぎわい創出課

    〒786-8501 高知県高岡郡四万十町琴平町16番17号
    電話:0880-22-3281 Fax:0880-22-5040

    担当課へのお問い合わせ