2017年3月、Apache Struts 2の脆弱性が見つかり、これに伴う情報流出事故が相次いで発生した。

なかでも被害が大きかったのが、日本のプロバスケットボールリーグ「B.LEAGUE」のチケットサイトおよびファンクラブ受付サイトだ。同サイトのサーバーに対して不正アクセスがあり、クレジットカード情報を含む個人情報が流出した。

重大な事故であったが、丁寧な事後対応を進めたうえ、プレスリリースで事態を詳細に説明。そうした対応への評価が、B.LEAGUEおよび運用・開発委託先のぴあが「第3回 セキュリティ事故対応アワード」優秀賞を受賞した。

本稿では、ぴあの情報セキュリティ管理推進責任者であるシステム局 専任局次長 川上 誠氏と、当時執行役員として事故対応を行った取締役 社長室長 兼 広報室長 小林 覚氏にお話を伺った。

ぴあ システム局 専任局次長 兼 情報セキュリティ推進プロジェクトの川上 誠氏(左)と、取締役 社長室長 兼 広報室長の小林 覚氏(右)

公表するのが先か、顧客対応の体制を整えるのが先か

昨年3月ごろ、Apache Struts 2の脆弱性を突いた攻撃が猛威を振るっていた。東京都の運営する「都税クレジットカードお支払サイト」も被害を受け、2017年3月10日に情報漏洩によってサイト停止に至っている。

川上氏は、「このニュースを聞いて『うちは大丈夫か?』という話をしていましたが、このときにはすでに不正アクセスを受け、外部からの侵入を許してしまっていたということが後の調査で明らかになっています」と説明する。

その後、クレジットカード会社より十数件の不正引き落としがあった事実と決済機能停止の依頼に関する連絡をぴあが受けたのは3月24日だった。

この報告を受けた後は、直ちにB.LEAGUEのサービス運営担当者ら社内関係者を招集し、まずはサイトを停止。そして、カード会社からの指示に従い、フォレンジック調査を開始した。

また当時はB.LEAGUEのシーズン中であり、毎週末に試合が開催されていたため、全国18カ所の会場へぴあスタッフを派遣し、カード決済機能停止に関する現地での問い合わせに対応できる体制を整えた。

そして4月25日、ぴあおよびB.LEAGUEから個人情報流出についての対外発表が行われた。サイト停止から1カ月という期間を要したのは、被害の影響範囲を完全に特定したうえでなければ漏洩の事実を公表すべきではない、というカード会社からのアドバイスがあったことが大きい。

「当初は我々もB.LEAGUEも、なるべく早く事実をお伝えしたほうが良いのではないかと考えていました。一方で、どのお客様が対象になっているかが明確になり、その情報をすべてのカード会社に提供できる段階にならない限りは、カード会社、ぴあ、B.LEAGUEのいずれに問い合わせても詳細がわからず、お客様の無用な混乱を招くことになります。

本当の意味でお客様のことを思うのであれば、自分が対象であるのかそうでないのかがわかる状態を作り、当社でアフターフォローができる体制を整えることが先決であると考えました」(小林氏)

当初、一刻も早く公表すべきだとするB.LEAGUEと意見が割れてしまったというが、ユーザーファーストの価値観は両者一致していたため、事情を丁寧に説明したことで、まずは顧客対応体制を整える方針に納得してもらえたのだという。

チケット事業で培った危機管理対応能力の高さ

もともと、チケット事業に強みを持つぴあ。サイバーセキュリティ分野に限らず、インシデント対応には長年培った経験とノウハウがあった。

「少し大袈裟な言い方かもしれませんが、チケットはお客様に”夢”を売っている商品です。替えがきかないものなので、インシデント時には丁寧な対応を求められる事案が多いです。重大インシデント発生時には、直ちに専用ダイヤルを開設して電話による問い合わせ対応を行える体制が整備されています」(小林氏)

小林氏が説明するように、業態柄、顧客対応へのずば抜けた基礎体力を持ち合わせている。今回のインシデントでも、試合会場へのスタッフ派遣や専用ダイヤルの開設、漏洩公表後の問い合わせ体制の強化など、迅速で丁寧な顧客対応を進めることができた。

さらに、社員一人一人の危機対応への意識が高いことも同社の特徴だ。

「ユーザーファーストの価値観を持っているので、トラブルや不祥事が起こった際には、その緊急対応が各メンバーの最優先事項となり、関係者全員が一斉に集まるという雰囲気があります。特に今回の場合は、システム担当者だけが集まればよいというわけではなく、B.LEAGUEの担当から経営企画、コンプライアンス担当、広報担当まで、各部門の責任者が揃う必要がありましたが、こういった風土があるおかげで迅速な対応ができました」(小林氏)

かつては、経営層へ報告するための資料作りに労力を費やしていた時期もあったという同社だが、「お客様や取引先企業が困っているのにも関わらず、説明資料作成に力を入れるということは非合理的」(小林氏)と考え、現在では最終判断のみを経営層に任せ、初期対応は各担当の現場判断によって動ける仕組みができあがっている。