最優秀賞「該当なし」は良対応が増えたから - 第3回情報セキュリティ事故対応アワード開催レポート
![]() |
Designed by カミジョウヒロ |
どれほど対策を施していたとしても、セキュリティ事故を100%防ぐことは難しい。事業を展開する企業に問われるのは、事故発生後の対応だ。ユーザーが被る不利益をいかに最小限に食い止めるか、同様の被害が発生しないよういかに情報共有して社会貢献できるか――。難局を乗り切るうえでは、迅速かつ適切な意思決定力と行動力、そして一丸となって遂行する組織力が必要となる。
IT Search+では、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」を2016年より開催しており、今年で3回目となる。
本稿では、3月1日に行われた「第3回 情報セキュリティ事故対応アワード」の表彰式および審査員によるパネルディスカッションの様子をお届けする。
今年で3回目となる事故対応アワード、最優秀賞は「該当なし」
アワードの審査員を務めるのは、EGセキュアソリューションズ代表 徳丸浩氏、NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏、インターネットイニシアティブセキュリティ情報統括室 シニアエンジニア 根岸征史氏、ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名。いずれも国内のセキュリティ業界を代表する専門家たちだ。
冒頭では、アワードの趣旨について辻氏より「がんばっていてもセキュリティ事故は起こるもの。その後の対応をきちんと評価する必要がある。きちんと対応した企業とサボった企業が同じような評価をされてしまうのでは、誰も真面目に事後対応に取り組まなくなってしまう。事故そのものと事後対応を分けて考え、専門家が率先して評価していくことで、セキュリティ業界の新しい文化を作っていければ」と説明が行われた。
第3回の評価対象期間は2017年1月から同年12月まで。受賞事例の選定にあたっては、「事故発覚から第一報までの期間や続報の頻度」、「発表内容(原因・事象、被害範囲、対応内容)」、「自主的にプレスリリースを出したか否か」の3点が評価軸となった。
審査においては、数百件に及ぶ事故事例から21件がノミネートされ、そのうち最終候補として4件が選定された。そしてこのなかから優秀賞2件が決定。なお今回、最優秀賞は該当なし、特別賞は辞退となった。
不正ログインに関する詳細な情報を1年間で5回公開
まず、優秀賞の1件目としてディノス・セシールが表彰された。同社は通販サイトとして主に「セシール」「ディノス」の2つのオンラインショップを運営しており、これらサイトへの不正ログインに関する情報を1年間で5回公開。12件程度のなりすましアクセスを検知し、自主的にプレスリリースを掲載した。
パスワードリスト攻撃による不正ログインは本物のユーザーと見分けがつかないため、防ぐのが難しい。「同様の被害は他の企業でも起きている可能性がある上、そもそも気づけていないケースもあると見られます。ディノス・セシールは、細かい情報まで公開し、誠実に対応していました」と、根岸氏は授賞理由について説明する。
またpiyokango氏は、「プレスリリースの情報が不十分で、メディアの取材が入ることでようやく全体像が見えるケースも多いのですが、ディノス・セシールのプレスリリースは、回数も中身も充実していました。特に、具体的な被害内容をタイムリーに公開しているところが見習うべきポイントです。このような同社の対応から、セキュリティに関する考え方や取り組み方が外から見えるので、ユーザーも安心できます」とコメントした。
審査の段階ではあまり推さなかったとする辻氏も、「被害件数が少ない場合、該当者にのみ個別に連絡して、情報公開しないケースが増えてきています。リスト型攻撃に関するプレスリリースが出ないことで、あたかも攻撃が起きていないように見えてしまうことは良くありません。攻撃自体は決して減っているわけではないので、プレスリリースを通して知らせ続けているのは良いことなのだと審査後に気づきました」と打ち明けていた。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
もっと知りたい!こちらもオススメ
![事故対応でB.LEAGUEが得た2つの教訓 [事故対応アワード受賞レポート]](https://news.mynavi.jp/itsearch/assets_c/2018/02/001_bleague-thumb-80x80-17396.jpg)
事故対応でB.LEAGUEが得た2つの教訓 [事故対応アワード受賞レポート]
昨年3月、B.LEAGUEのチケットサイトおよびファンクラブ受付サイトのサーバー環境に対する不正アクセスがありクレジットカード情報を含む個人情報が流出する事故が起きた。重大な事故であったが、プレスリリースでの詳細な説明や丁寧な事後対応が評価され、『第3回 セキュリティ事故対応アワード』優秀賞を受賞した。当時の様子を常務理事・事務局長の葦原 一正氏に振り返って…
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
-
[2021/02/26 08:00] サーバ/ストレージ
-
$side_seminar_count = $i+1; ?>
-
2021年3月2日(火)
5G/IoT時代、「通信」の提供だけでは生き残れない 「今求められる通信業界の新たなサービス提供のあり方とは?」
$side_seminar_count = $i+1; ?>
-
2021年3月3日(水)15:00~16:55(14:45から入場・接続開始)
【ラックセキュリティセミナー】 Webサイトオーナー必見!! Webセキュリティ最前線2021 ~Web診断とWAFの相乗効果による効率のよい脅威対策~
$side_seminar_count = $i+1; ?>
-
2021年3月4日(木)14:00~15:10
【Day2】これからサイトリニューアルに取り組む方へ 失敗しないプロジェクトの進め方とCMS選択のポイントとは?
$side_seminar_count = $i+1; ?>
-
2021年3月4日(木)13:30-14:55
話題のSASEが大集結!徹底解剖セミナー
$side_seminar_count = $i+1; ?>
-
2021年3月5日(金)
語る。DXの真髄。 -情シスから改革を-
今注目のIT用語の意味を事典でチェック!