【レポート】事後にこそ問われる、企業の真価-セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード

Designed by カミジョウヒロ

どんなに重厚な対策を施しても、完全に防ぐことは難しいと言われるサイバー攻撃。昨今のセキュリティ担当者は、攻撃を防ぐ方法だけでなく、万が一攻撃を受けた場合の事後対応（インシデント・レスポンス）についても日頃から検討しておかなければならない。

そうした背景を踏まえ、不幸にもセキュリティ事故、あるいは攻撃に遭ってしまったものの、その後の対応が素晴らしかった企業・団体を表彰する「セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード」が2月24日、マイナビニュース主催で開催された。

同アワードでは、国内セキュリティ業界で影響力のある有識者5人を選考委員に迎え、100を超えるインシデントを対象に調査を実施。説明責任をいかに果たしたかや、情報開示のタイミング/内容などを元に選考した結果、特に対応が優れていた企業3社が選出された。

会場には選考委員全員が集結し、受賞企業の表彰が行われたほか、パネル・ディスカッションでは、選考過程の様子や情報開示の理想形などについて、審査員らによる議論が繰り広げられた。

セキュリティ事故対応アワードに込められた”願い”

アワードの選考委員を務めたのは、国内のセキュリティ業界を代表する次の5人の専門家たちだ。

	HASHコンサルティング 代表取締役 京セラコミュニケーションシステム技術顧問 情報処理推進機構（IPA）非常勤研究員　徳丸浩氏
	NTTコムセキュリティ オペレーション＆コンサルティング部　北河拓士氏
	インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア　根岸征史氏
	ソフトバンク・テクノロジー シニアセキュリティエヴァンジェリスト 辻伸弘氏
	セキュリティインコ piyokango氏 （顔出し不可のため、以前撮影した写真を使用しています）

イベントの冒頭では、辻氏がアワードの趣旨について説明を行った。

「このアワードは、3年ほど前から私がずっとやりたいと訴え続けてきたものです。情報セキュリティに関する事故が起きると多くのメディアなどで取り上げられますが、事故を起こした組織がその後、どのように対応を行ったのかについてはほとんど知られることがありません。けれども、実際に現場の人たちから話を聞くと、実にいろいろと工夫して対応しているんです」

にも関わらず、きちんと対応したところとやらなかったところが同じように扱われていたのでは、そのうち誰もまともに対応しようとしなくなるおそれがあり、結果、そのサービス利用者が被害を受け続けることになると辻氏は警鐘を鳴らす。

「事故後に真面目に取り組んだ組織を第三者が称えることで、もっと世間が事後対応のあり方に目を向けるようにしたいという思いから、このアワードを実施することにしました。確かに事故が起きるのは良いことではありませんが、瑕疵がないものも少なくありませんし、悪かったことだけにフォーカスして騒ぎ立てるだけでなく、別の視点から評価もできるようになり、社会全体で安全性を高められるようになることを願っています」（辻氏）

評価対象期間は2013年1月から2015年12月までとし、受賞事例の選定に当たっては、次の3点が評価軸となった。

• 事故発覚から第一報までの期間や続報の頻度
• 発表内容（原因・事象、被害範囲、対応内容）
• 自主的にプレスリリースを出したか否か

調査した100件超のインシデントから、まず19件がノミネートされ、そこからさらに厳選した結果、最終候補は6件に絞られたという。そしてこの6件から、優秀賞2件、最優秀賞1件が選定されたのである。

>> 優秀賞2社に共通した評価ポイントとは?