無意味な対策はある? 全情報を公開すべき?

ここから、参加登録者から事前に募った質問に登壇者が回答する流れでパネルディスカッションは進行。

最初に取り上げられた質問は「企業のセキュリティ対策や取り組みのうち、意味のあるものと無意味なものは?」というものだ。これに辻氏は「無意味なものはあまりない」とコメントする。

これに徳丸氏も賛同し、インシデントでよくあるクレジットカード情報の漏洩について「侵入されたことには早期に気づいていたものの、その後も決済を止めずにいたせいで漏れ続けていたということがあった」という事例を紹介。その理由について、「カード情報を保存していないから漏れていないだろうと思い込んでいたのでは」と見解を示す。つまり「決済を止めても無意味だろうと思ってしまった」ことが被害の拡大につながったわけだ。

徳丸氏は「(無意味だと考えず)そこですばやく対応できていれば被害を減らせていた」とあらためて早期対応の重要性を語った。

EGセキュアソリューションズ代表 徳丸浩氏

では、どうすれば早期に発見/対応することができるのか。piyokango氏曰く「事例を知っているかどうかがポイント」だという。

「詳細まで全てを把握せずとも、こんなこともあるんだなということくらいは知っておくべき。例えば、『決済画面を改ざんして(偽のページを)追加するというのが最近のトレンドなんだな』とか、そういうことを知っているだけでも(万一のときの行動が)違ってくる。プレスリリースだけでも読んでおくべきだ」(piyokango氏)

そのためにも「ログをしっかりとって保存しておくことが重要」だと徳丸氏は強調する。

「デフォルトの設定だと、ローテーションして1週間で消えるなどということも多い。ログから情報が漏れることもあるので、何年も置いておくのは確かに良いことではないが、消えてからでは情報を追えない。その点を事前に考えておくことが必要」(徳丸氏)

続いて挙がったのは「事故の情報を全部公開することが必ずしも正しいとは限らないと思いますが、いかがでしょうか」という質問だ。

これに根岸氏は「我々としては詳しく情報を出してほしいが、”誰向けなのか”で書く内容も変わる。何でも出すか出さないか、どちらがいいという話ではない」と見解を示した。

もっとも、「情報は基本的に公開すべき」というのが審査員5名の共通意見だ。

「セキュリティ事故を起こしてしまった企業が、『もう起こしません』と言っただけでは納得してもらえない。事実関係や原因の究明を行い、再発防止策を公開することで信じてもらえるようになる。情報を公開することが自社の利益につながることを理解してもらいたい」(北河氏)

* * *

今回の情報セキュリティ事故対応アワードについて辻氏は、「今回で4回目の開催となるが、まだまだ受賞辞退が目立つ。インシデント対応で讃えられることを引け目に思うような空気を変えていきたい。しかし、(審査員の)僕たちだけでは限界があるので、今日会場に来た皆さんが、こんなイベントだったよと来た人にしかわからない空気感を伝えていってほしい」と語る。

ソフトバンク・テクノロジー 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー 辻伸弘氏

辻氏はかねてより、セキュリティ事故が起きた際、担当者を責めないようにしようと言い続けてきた。大切なのは、起きてしまった事故にどう対応するかだからだ。この言葉を聞いた人が周囲に伝えた結果、誰もが知っているセキュリティ事故で担当者が責められなかったケースがあったのだという。

こうしたエピソードを紹介した辻氏は「一人一人が少しずつ伝えることが、大きな力を生む可能性がある。少しでも皆さんの力を貸していただければ、世の中が良くなっていくと思う。5年、10年とアワードを続けていって振り返ったとき、『あの頃に比べたら世の中変わったよな』というものにしていきたい」と想いを語り、イベントを締めくくった。