「自主的かつ迅速な情報公開」が根付いてきた感 - 第4回情報セキュリティ事故対応アワード開催レポート

[2019/04/18 08:00]山田井ユウキ ブックマーク ブックマーク

セキュリティ

選考を振り返る - 審査員らによるパネルディスカッション

続いて、審査員5名によるパネルディスカッションが行われた。

「昨年よりも今年のほうが審査に難航した」と語るのは辻氏だ。ただし、その理由は「良い対応をする企業が増えてきた」というポジティブなものであり、セキュリティ事故対応に必要とされる「自主的にすばやく詳細な情報を公開」という要素が企業に根付いてきたことを感じさせられる。

また、「伊織のリリースは本当によくできていた」と語るのは徳丸氏だ。ちょうど、この種の事件が起きるのではと危惧していたところに詳細な内容がリリースされたので、インパクトがあったのだという。さらに北河氏は「先日新聞で、あるセキュリティ会社が『(伊織のように決済処理の改ざんがされた場合)利用者にできることはほとんどない』とコメントしていたが、それはあまり正しくない」と指摘する。

「伊織の件では、URLをきちんと確認していれば気づけないわけではなかったし、支払い方法としてコンビニ払いやプリペイドのクレジットカードを利用するといった対策もある。何も自衛手段がないわけではない」(北河氏)

NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏

これに徳丸氏も、改ざんされた決算処理は「これだけ雑でもなかなか気づけないのか」とショックを受けるほど画面遷移が雑だったとコメント。今後、より精巧なつくりのものが出てくれば、一層気づきにくくなる可能性が高いため利用者側も注意が必要だ。

今回受賞した2社以外にも優れたインシデント対応は多々あったとのことで、アワード参加登録者による事前アンケートでは九州商船や産業技術総合研究所、前橋市教育委員会、プリンスホテルなどの対応にも支持が集まった。

九州商船や産総研は、非常に詳しい報告書が公開された点が注目を集めた。

「報告書のボリューム自体もすごいが、そこで『すごい』で終わらずに、中身を読み込むことが大切」だとpiyokango氏はコメントする。

「数十ページある報告書は読むのが大変なので、さらっと読んでしまいがちかもしれないが、しっかり読んでいくと”気づき”がある」(piyokango氏)

いずれもインシデントに対して詳細な情報をすばやく公開した企業/組織が評価されたかたちだが、根岸氏は「単に報告書にボリュームがあればいいというわけではない」と釘を刺す。

「大事なのは”誰に対して何を出すのか”ということ。セキュリティ担当者なら技術的な側面を見るでしょうし、経営層ならどういうタイミングでどんな情報を出すべきかや、今後どこまで対策をすればよいのかといったことを知りたいはず。人によって見るべきものは違うので、誰に見せるものなのかを意識することも大切」(根岸氏)

インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏

これに辻氏も、「入社してすぐの頃、分厚い報告書を持っていって事細かに1時間半ほど説明したところ、担当者から一言、『で、危ないの? 危なくないの?』と言われた。ただ詳しいだけでは役に立たないこともある。特に経営層に見せるものはそういうケースが多い」と同意を示した。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の津波警報を装った迷惑メールに対し、同日中に注意喚起を目的としたプレスリリースを発表。詳細な情報を公開し、被害を最小限に食い止めた。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る