マイナビニュースマイナビ

最優秀賞は全員一致で決定! 第2回情報セキュリティ事故対応アワード開催レポート

[2017/03/14 08:00]山田井ユウキ ブックマーク ブックマーク

「推しインシデント対応」が増えた2016年

表彰式後は、登壇した5名の審査員らによるパネルディスカッションが行われた。

根岸氏は今回のアワードについて、「個人的な感想としては、去年に比べて良い対応をした企業が多く、選びやすかったです」とコメント。これに辻氏も「今回は『推しインシデント対応』が多くて、激論でした」と同意した。

事故の報告書については北河氏が「各社、良いところをどんどん真似してきている」と傾向を分析し、piyokango氏も「時系列でわかりやすいものが多かったです」と所感を述べた。

仕事柄、セキュリティに関するレポートを作成することも多いという辻氏によると、報告書作成のポイントは「『経営者にはこれだけ見せればよい』というサマリを最初に書き、後はどの章で切ってもわかるように書くこと」だという。

報告書で特に良かったものとしては、徳丸氏が日本テレビの情報漏えいに関する対応を例に挙げ、「第三者委員会は当事者が雇うものなので、こちらとしてもしょせんはそういうものだろうという目で見るのですが、日テレの報告書は技術的にも詳細で厳しく書けており素晴らしかった」とたたえた。

次に重要なのは情報公開のチャネルだ。piyokango氏は、「一般的には、Webサイトに公開するべきです。ただし、情報共有と言ってもインターネット上への公開が全てではありません。サイバー情報共有イニシアティブ(J-CSIP)など、情報を共有する枠組みは既に複数存在します。自分の組織が参加可能なところを確認し、そうした既存の枠組みの活用も検討してほしいと思います」とコメントする。また、「Webサイトはダウンする場合もある」(根岸氏)ので、非常時に備え、Twitterなど複数のチャネルをあらかじめ用意しておくことが必要だ。

その好例として、京急油壺マリンパークと浅虫水族館のインシデントが挙げられた。両者ともサイトがダウンした際、原因調査中であることや復旧状況などについてTwitterで情報を発信したのだ。辻氏によると、「単にサイトにアクセスできないだけでは、攻撃を受けているのか、メンテナンスなのかがわからない」ため、間違った情報の拡散を防ぐ意味でも、公式サイト以外に情報発信できるチャネルを設けておくことの意義は大きい。

本アワードの趣旨は「『どんなに対策しても事故は起きるもの』だと認識し、起きた後にしっかりと対応することが大切」というところにある。情報漏えいのようなセキュリティ事故が発生すると、「誰が悪いのか」「セキュリティ対策がずさんだったのではないか」などとあら探しに走りやすい。だが、辻氏は「2015年に起きた年金機構の情報漏えい事故以降から風潮が変わったように思う」と語る。

「よく『(ウイルスの)添付ファイルを開くのが悪い』と言われますが、ユーザーサポートや問い合わせ対応のようにメールを開封し、内容に応じた対応をするのが仕事の人だっているでしょう。JTBの記者会見では担当者がウイルスメールを開封してしまったことについて、公の場で責められなかった点はとても良かったと思います」(辻氏)

セキュリティ事故が起きた際には、原因の調査や周囲への報告・発表が不可欠となる。しかし、それはミスを責め立てたり、誰かに責任を押し付けたりするためではない。状況を明らかにして関係者の不安を払拭するとともに、同じ事件、事故の被害を減らす布石とするためだ。少しずつ、しかし着実に、事後対応の重要性が理解されつつあるのではないだろうか。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか

ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか

2月21日に開催された「情報セキュリティ事故対応アワード」にて、オンラインゲーム『ドラゴンクエストX』を運営するスクウェア・エニックスが特別賞として表彰された。ドラゴンクエストXで何が起きたのか。そしてスクウェア・エニックスはその事態にどう対処したのか。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
IoTでできることを見つけるための発想トレーニング
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
マイクロサービス時代に活きるフレームワーク Spring WebFlux入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る