最優秀賞「該当なし」は良対応が増えたから - 第3回情報セキュリティ事故対応アワード開催レポート

Designed by カミジョウヒロ

どれほど対策を施していたとしても、セキュリティ事故を100%防ぐことは難しい。事業を展開する企業に問われるのは、事故発生後の対応だ。ユーザーが被る不利益をいかに最小限に食い止めるか、同様の被害が発生しないよういかに情報共有して社会貢献できるか――。難局を乗り切るうえでは、迅速かつ適切な意思決定力と行動力、そして一丸となって遂行する組織力が必要となる。

IT Search+では、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」を2016年より開催しており、今年で3回目となる。

本稿では、3月1日に行われた「第3回 情報セキュリティ事故対応アワード」の表彰式および審査員によるパネルディスカッションの様子をお届けする。

今年で3回目となる事故対応アワード、最優秀賞は「該当なし」

アワードの審査員を務めるのは、EGセキュアソリューションズ代表 徳丸浩氏、NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏、インターネットイニシアティブセキュリティ情報統括室 シニアエンジニア 根岸征史氏、ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名。いずれも国内のセキュリティ業界を代表する専門家たちだ。

（左から）根岸征史氏、徳丸浩氏、辻伸弘氏、北河拓士氏、piyokango氏（顔出し不可のため、以前撮影した写真を使用）

冒頭では、アワードの趣旨について辻氏より「がんばっていてもセキュリティ事故は起こるもの。その後の対応をきちんと評価する必要がある。きちんと対応した企業とサボった企業が同じような評価をされてしまうのでは、誰も真面目に事後対応に取り組まなくなってしまう。事故そのものと事後対応を分けて考え、専門家が率先して評価していくことで、セキュリティ業界の新しい文化を作っていければ」と説明が行われた。

第3回の評価対象期間は2017年1月から同年12月まで。受賞事例の選定にあたっては、「事故発覚から第一報までの期間や続報の頻度」、「発表内容(原因・事象、被害範囲、対応内容)」、「自主的にプレスリリースを出したか否か」の3点が評価軸となった。

審査においては、数百件に及ぶ事故事例から21件がノミネートされ、そのうち最終候補として4件が選定された。そしてこのなかから優秀賞2件が決定。なお今回、最優秀賞は該当なし、特別賞は辞退となった。

不正ログインに関する詳細な情報を1年間で5回公開

まず、優秀賞の1件目としてディノス・セシールが表彰された。同社は通販サイトとして主に「セシール」「ディノス」の2つのオンラインショップを運営しており、これらサイトへの不正ログインに関する情報を1年間で5回公開。12件程度のなりすましアクセスを検知し、自主的にプレスリリースを掲載した。

パスワードリスト攻撃による不正ログインは本物のユーザーと見分けがつかないため、防ぐのが難しい。「同様の被害は他の企業でも起きている可能性がある上、そもそも気づけていないケースもあると見られます。ディノス・セシールは、細かい情報まで公開し、誠実に対応していました」と、根岸氏は授賞理由について説明する。

またpiyokango氏は、「プレスリリースの情報が不十分で、メディアの取材が入ることでようやく全体像が見えるケースも多いのですが、ディノス・セシールのプレスリリースは、回数も中身も充実していました。特に、具体的な被害内容をタイムリーに公開しているところが見習うべきポイントです。このような同社の対応から、セキュリティに関する考え方や取り組み方が外から見えるので、ユーザーも安心できます」とコメントした。

審査の段階ではあまり推さなかったとする辻氏も、「被害件数が少ない場合、該当者にのみ個別に連絡して、情報公開しないケースが増えてきています。リスト型攻撃に関するプレスリリースが出ないことで、あたかも攻撃が起きていないように見えてしまうことは良くありません。攻撃自体は決して減っているわけではないので、プレスリリースを通して知らせ続けているのは良いことなのだと審査後に気づきました」と打ち明けていた。