今年も経済産業省の後援の下、情報セキュリティ事故対応アワードを開催しました。

昨年のアワードでは、例えインシデントが起きてしまっても、その後の対応次第では世間の評判を高められることを明確に示すことができました。そうした流れを汲んでか、「2018年は全体的にインシデント対応の質が高い1年だった」と審査員は振り返ります。

今回は32件がノミネート。そのなかから、特に素晴らしかった4組織を表彰いたしました。

(主催:情報セキュリティ事故対応アワード実行委員会 / 後援:経済産業省
ロゴデザイン:カミジョウヒロ)

審査概要

審査委員

  • 徳丸 浩 氏 … EGセキュアソリューションズ株式会社代表
    京セラコミュニケーションシステム技術顧問
    独立行政法人情報処理推進機構(IPA)非常勤研究員
    技術士(情報工学部門)
  • 北河 拓士 氏 …NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室
  • 根岸 征史 氏 … 株式会社インターネットイニシアティブ セキュリティ情報統括室長
  • 辻 伸弘 氏 … ソフトバンク・テクノロジー株式会社 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー
  • piyokango 氏 … セキュリティインコ

審査基準

  • 事故発覚から第一報までの期間、続報の頻度
  • 発表内容 (原因・事象、被害範囲、対応内容)
  • 自主的にプレスリリースを出したか

審査対象期間

2018年1月~2018年12月

最優秀賞

選出させていただきましたが、残念ながら辞退でございました。

優秀賞

株式会社 ディノス・セシール


【インシデント概要】

複数の中国IPアドレスから、メールアドレス・パスワードを使った不正アクセス1938件が発生。490名の顧客情報の閲覧の可能性を公表した。
1938名のユーザー全員がディノス・セシール登録中だったため、当初は自社リストの漏洩も疑ったが、第二報にて、会員登録画面で「スクリーニング」された後にログインが試行されていたことを明かす。

【受賞理由】

不正アクセスについて、普段どおり調査結果を随時発表。
さらに第二報にて、会員登録画面の二重登録防止機能がスクリーニングに使われたことを、手口とともに公表。ログイン画面以外も監視対象に入れるべきことを世に知らせた。

優秀賞

株式会社 伊織


【インシデント概要】

伊織ネットショップの決済処理が改ざんの被害に。偽のクレジットカード情報入力画面が挿入され、同画面に入力したユーザーの情報が漏洩した可能性が高い。

【受賞理由】

クレジットカード情報窃取の手口について画面ショットを交えて詳しく解説。遷移先ドメイン名も記載し、被害の拡大抑止に貢献した。Payment Card Forensicsの指導による公開制限がある中、混乱を招かぬ範囲で迅速に情報を公開した点は素晴らしい。

優秀賞

他2件、残念ながら辞退がございました。

特別賞

気象庁


【インシデント概要】

気象庁の公式アナウンスを装った迷惑メールが頒布される。

【受賞理由】

不正ドメイン、ファイル名を記載して注意を喚起。自分たちに非があったわけではないにもかかわらず、被害の拡大を防ぐべく、労をいとわずに行動した点は、表彰に値する。

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の津波警報を装った迷惑メールに対し、同日中に注意喚起を目的としたプレスリリースを発表。詳細な情報を公開し、被害を最小限に食い止めた。…続きを読む

授賞式レポート
「自主的かつ迅速な情報公開」が根付いてきた感 - 第4回情報セキュリティ事故対応アワード開催レポート

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」が3月5日、経済産業省後援の下に開催された。本稿では、当日の模様をダイジェストでお伝えする。…続きを読む