Designed by カミジョウヒロ

IT Search+は2月21日、「第2回 情報セキュリティ事故対応アワード」を開催した。いかに対策していても、セキュリティ事故を100%防ぐことは難しい。であれば、次に考えるべきは「実際に事故が起きてしまったとき、どれだけしっかり対応できるか」だろう。

情報セキュリティ事故対応アワードは、セキュリティ事故が起きてしまった後、説明責任・情報開示の観点から見て、優れた対応を行った団体・企業を表彰するイベントだ。第2回となる今回は、サイバーセキュリティに力を入れる経済産業省の後援を受けるとともに、報道賞も新設。第1回からさらにパワーアップした内容で開催された。

安心につながる情報提供・「ユーザー第一」の対応を評価

アワードの審査員を務めるのは、HASHコンサルティング 代表取締役 徳丸 浩氏、NTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室 北河 拓士氏、インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア 根岸 征史氏、ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻 伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名。当日は、受賞企業の表彰と審査員によるパネルディスカッションが実施された。

イベント冒頭、辻氏から本アワードの趣旨について次のように説明された。

「セキュリティ事故は100%は防げません。対応に投資した企業とそうではない企業が同じように非難されるようではダメだと思います。事故を起こしたことと、その対応は別に考える。そして、良い対応をした場合はきちんと評価する。そういう文化を作っていくアワードです」

ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻 伸弘氏

今回、対象となったのは2016年1月~12月までの1年間におけるセキュリティ事故対応だ。評価軸となるのは、「事故発覚から第1報までの期間と続報の頻度」「発表内容」「自主的にプレスリリースを出したか」といった事柄だ。より詳しく、自主的に情報を開示した企業が高い評価を受けた。

まず特別賞に選ばれたのは、富山大学である。

富山大学は昨年、標的型メールによって研究者のPCがウイルス感染し、大量の通信が発生する事態に陥った。ただし、PC内のデータは既に発表済みのものばかりだったという。

受賞の決め手となったのは、攻撃手法やC2サーバ情報など、情報セキュリティの専門家に役立つ貴重な情報を提供したこと。根岸氏は「(接続先の内容をリリースに含めていた企業は)富山大学以外で2016年には見たことがない」と賞賛する。

辻氏は「富山大学が提供した情報は、関係者の安心につながる部分です。そうした貴重な情報を出したということが評価のポイントになりました」とコメントした。

特別賞にはもう1社、スクウェア・エニックスが選出された。対象となったのは、同社が運営するオンラインゲーム「ドラゴンクエストX」で発生したチート行為についての対策と情報公開である。事故が発生したのは2015年だが、区切りがついたタイミングが2016年であったことから今年のアワードでの選出となった。

インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア 根岸 征史氏(左)とスクウェア・エニックス 「ドラゴンクエストX」テクニカルディレクター 青山 公士氏(右)

評価のポイントは、一部の装備の製造確率を高めるチート行為についての情報公開を、公式サイトのみならずニコニコ生放送の公式放送に担当者が出演して直接行ったことや、ゲーム内世界の経済への影響が軽微であることをグラフなどを用いてわかりやすく解説したことだ。

piyokango氏は「こういった情報公開は珍しい。ユーザーのことを大事に考えているということであり、非常にポイントが高い」と評価する。

イベントには、スクウェア・エニックスから「ドラゴンクエストX」テクニカルディレクターの青山 公士氏が出席。技術責任者としてセキュリティ対策に取り組む氏は、一連の対応について「根も葉もないデマも流れていましたので、DQXTV(ニコニコ生放送の公式番組)で今回の件を、ゲーム内への実際の影響を中心にお客様へ説明しました。直後は反響が予想以上に大きく正直戸惑いましたが、それもしばらくすると収まりました」と振り返る。

今回の受賞については、「セキュリティには相当力を入れていたつもりでしたが、事故は起きてしまいました。ただ、ゲーム内への影響に関する詳細な資料を出せたのは、普段からセキュリティに力を入れているからこそという部分もありますので、この賞を励みに今後もお客様が安心して遊べる世界を作っていけるよう、がんばっていきたいと思います」とコメントを寄せた。