IT Search+では、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」を2016年より開催している。

第88回IT Search+スペシャルセミナーでは、今年3月に開催した「第3回 情報セキュリティ事故対応アワード」で優秀賞を受賞したぴあの取締役社長室長 兼 広報室長 小林覚氏とCISO室長 兼 システム局専任局次長 川上誠氏が登壇。事故発生当時の対応を振り返りながら、EGセキュアソリューションズ代表 徳丸浩氏、NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏、インターネットイニシアティブセキュリティ情報統括室 シニアエンジニア 根岸征史氏、ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名の審査員らと共に、ディスカッションを行った。

(左から)審査員のpiyokango氏(顔出し不可のため、以前撮影した写真を使用)、辻氏、徳丸氏、北河氏、根岸氏/ぴあの小林氏、川上氏。セミナーは濃い内容ながらも和やかに進められた

事故とその対応を6段階で整理し、質疑応答で進行

優秀賞の対象となったのは、ぴあが運用を担当している日本のプロバスケットボールリーグ「B.LEAGUE」のチケットサイト、およびファンクラブ受付サイトへの不正アクセスにより、クレジットカード情報を含む個人情報が流出した事故への対応である。問題発覚後、対応状況を都度公開し、サービスの停止/再開、問い合わせ電話窓口の開設、パスワード再登録などのオペレーションなどを迅速に実施したことが受賞理由となった。

今回のセミナーでは、一連の出来事を「認知」「初動」「調査」「関係機関への連絡」「補償」「再発防止対応」の6つの段階に分けて、事故に遭うとどのような対応が必要になるのか、5名の審査員が小林氏と川上氏に質問を投げかけるかたちで議論が進められた。

1. 認知:事故対応の流れ

2017年3月頃、Webアプリケーションフレームワーク「Apache Struts 2」の脆弱性を突いた攻撃が猛威を振るっていた。同フレームワークを利用していたぴあは、3月13日にStruts 2のアップデートを行ったが、3月7日時点ですでに攻撃を受けていたことが後の調査で明らかになっている。そして3月24日にクレジットカード会社より決済機能停止の要請に関する連絡を受け、サイトを停止し、フォレンジック調査を開始。4月25日に、ぴあおよびB.LEAGUEから個人情報流出についての対外発表が行われた。

まず、この対外発表について根岸氏が「このときのプレスリリースに、『当社からの発注仕様、運用ガイドラインと異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に不適切に個人情報が保持されていた』とある。通信ログ上にカード情報が保持されていたという話はよく聞くが、データベース上に保存されていたケースはあまり聞かない」と指摘。徳丸氏の「委託先は組織として保存していない認識だったのか?」という質問に対しては、川上氏は「組織としては保存していないつもりだったが、開発会社の現場レベルでは良かれと思って情報をデータベース上に保存していたようだ」と説明する。

これに対し、北河氏は「入力フォームが改竄されてカード情報が漏れるケースもある。通信ログやデータベースに保存されていないからといって、大丈夫というわけではない」と補足する。

同氏は続けて、「過去の事故を研究していれば、初動でさらに良い判断ができたかもしれない」と”振り返り”の重要性を示した。