「自主的かつ迅速な情報公開」が根付いてきた感 - 第4回情報セキュリティ事故対応アワード開催レポート

[2019/04/18 08:00]山田井ユウキ ブックマーク ブックマーク

セキュリティ

無意味な対策はある? 全情報を公開すべき?

ここから、参加登録者から事前に募った質問に登壇者が回答する流れでパネルディスカッションは進行。

最初に取り上げられた質問は「企業のセキュリティ対策や取り組みのうち、意味のあるものと無意味なものは?」というものだ。これに辻氏は「無意味なものはあまりない」とコメントする。

これに徳丸氏も賛同し、インシデントでよくあるクレジットカード情報の漏洩について「侵入されたことには早期に気づいていたものの、その後も決済を止めずにいたせいで漏れ続けていたということがあった」という事例を紹介。その理由について、「カード情報を保存していないから漏れていないだろうと思い込んでいたのでは」と見解を示す。つまり「決済を止めても無意味だろうと思ってしまった」ことが被害の拡大につながったわけだ。

徳丸氏は「(無意味だと考えず)そこですばやく対応できていれば被害を減らせていた」とあらためて早期対応の重要性を語った。

EGセキュアソリューションズ代表 徳丸浩氏

では、どうすれば早期に発見/対応することができるのか。piyokango氏曰く「事例を知っているかどうかがポイント」だという。

「詳細まで全てを把握せずとも、こんなこともあるんだなということくらいは知っておくべき。例えば、『決済画面を改ざんして(偽のページを)追加するというのが最近のトレンドなんだな』とか、そういうことを知っているだけでも(万一のときの行動が)違ってくる。プレスリリースだけでも読んでおくべきだ」(piyokango氏)

そのためにも「ログをしっかりとって保存しておくことが重要」だと徳丸氏は強調する。

「デフォルトの設定だと、ローテーションして1週間で消えるなどということも多い。ログから情報が漏れることもあるので、何年も置いておくのは確かに良いことではないが、消えてからでは情報を追えない。その点を事前に考えておくことが必要」(徳丸氏)

続いて挙がったのは「事故の情報を全部公開することが必ずしも正しいとは限らないと思いますが、いかがでしょうか」という質問だ。

これに根岸氏は「我々としては詳しく情報を出してほしいが、”誰向けなのか”で書く内容も変わる。何でも出すか出さないか、どちらがいいという話ではない」と見解を示した。

もっとも、「情報は基本的に公開すべき」というのが審査員5名の共通意見だ。

「セキュリティ事故を起こしてしまった企業が、『もう起こしません』と言っただけでは納得してもらえない。事実関係や原因の究明を行い、再発防止策を公開することで信じてもらえるようになる。情報を公開することが自社の利益につながることを理解してもらいたい」(北河氏)

* * *

今回の情報セキュリティ事故対応アワードについて辻氏は、「今回で4回目の開催となるが、まだまだ受賞辞退が目立つ。インシデント対応で讃えられることを引け目に思うような空気を変えていきたい。しかし、(審査員の)僕たちだけでは限界があるので、今日会場に来た皆さんが、こんなイベントだったよと来た人にしかわからない空気感を伝えていってほしい」と語る。

ソフトバンク・テクノロジー 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー 辻伸弘氏

辻氏はかねてより、セキュリティ事故が起きた際、担当者を責めないようにしようと言い続けてきた。大切なのは、起きてしまった事故にどう対応するかだからだ。この言葉を聞いた人が周囲に伝えた結果、誰もが知っているセキュリティ事故で担当者が責められなかったケースがあったのだという。

こうしたエピソードを紹介した辻氏は「一人一人が少しずつ伝えることが、大きな力を生む可能性がある。少しでも皆さんの力を貸していただければ、世の中が良くなっていくと思う。5年、10年とアワードを続けていって振り返ったとき、『あの頃に比べたら世の中変わったよな』というものにしていきたい」と想いを語り、イベントを締めくくった。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の津波警報を装った迷惑メールに対し、同日中に注意喚起を目的としたプレスリリースを発表。詳細な情報を公開し、被害を最小限に食い止めた。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る