今年で2回目を迎えた情報セキュリティ事故対応アワード。経済産業省が後援につき、報道賞を新設するなど、さらに内容を拡充しての開催となりました。

完璧な防止策などなく、どの企業で起きても不思議ではない情報漏洩事件ですが、ITの歴史がまだ浅いこともあり、有事の対応策としては確立されたものがありません。
ユーザーファーストで、迅速かつ柔軟な行動が不可欠。二次被害を食い止めるためには、情報も適切に開示しなければなりません。こうした判断の難しい作業を問題なくこなした企業は誉められてしかるべきでしょう。
しかし、現在は、漏洩した事実を叱責する風潮が強すぎて、残念ながら、事後の対応に光が当たることはほとんどありません。担当者の好判断でどれほど多くのユーザーを救済できたとしても、社内でさえ評価されないのが実情でしょう。

そうした風潮を変えるべく開始したのが本アワードです。事故と対応を分けて考え、対応の方にフォーカスして優れた実績を残した企業・団体を表彰しました。
なお、今年の最優秀賞は、審査員全員が「過去にない対応」と大絶賛。セキュリティ関係者は一度ご覧になっておくべきでしょう。
(主催:情報セキュリティ事故対応アワード実行委員会 / 後援:経済産業省
ロゴデザイン:カミジョウヒロ)

審査概要

審査委員

  • 徳丸 浩 氏 ... HASHコンサルティング株式会社 代表取締役 / 京セラコミュニケーションシステム技術顧問 / 情報処理推進機構(IPA)非常勤研究員
  • 北河 拓士 氏 ... NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室
  • 根岸 征史 氏 ... 株式会社インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア
  • 辻 伸弘 氏 ... ソフトバンク・テクノロジー株式会社 シニアセキュリティリサーチャー
  • piyokango 氏 ... セキュリティインコ

審査基準

  • 事故発覚から第一報までの期間、続報の頻度
  • 発表内容 (原因・事象、被害範囲、対応内容)
  • 自主的にプレスリリースを出したか

審査対象期間

2016年1月~2016年12月

最優秀賞

パイプドHD株式会社


【被害概要】

アパレル特化型ECプラットフォーム「スパイラルEC」により構築されたサイトに対して、外部からの不正アクセスが発生。個人情報がダウンロードされる。

【受賞理由】

第1報から第4報まで非常に詳細な報告書が出ていること。さらに、そのタイミングで社長自身が出演した20分にも及ぶ報告動画が掲載され、全社的に取り組む姿勢を見せている。

とにかく詳細なうえ、発表の頻度、利用された脆弱性、利用後の内容、上層部の対応、どれを見ても文句なしと受賞となった。

また、個人情報が流出したサービスだけでなく、同社が提供する他のプラットフォームへの影響について言及した点も高く評価された。