継続的な良対応を高く評価! - 第5回情報セキュリティ事故対応アワード開催レポート

[2020/04/10 10:00]山田井ユウキ ブックマーク ブックマーク

Designed by カミジョウヒロ

いかに対策していても、情報セキュリティ事故を完全に防ぐことは難しい。今、企業に求められるのは、事故発生後の迅速な対応である。対応が素晴らしければ、むしろ事故以前よりも企業評価を高め、ユーザーの信頼を勝ち得ることにもつながるだろう。

3月10日、不幸にもセキュリティ事故に遭ってしまった企業の優れた対応を評価する「情報セキュリティ事故対応アワード」が今年も開催された。本稿では、アワードで行われた受賞企業の表彰と審査員らによるパネルディスカッションの模様をお届けする。

2019年、優れた対応をした企業は? - ついに「殿堂入り」も登場

当日、登壇したのはEGセキュアソリューションズ 代表の徳丸浩氏、NTTコム ソリューションズの北河拓士氏、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏。いずれもセキュリティのスペシャリストであり、本アワードの審査員を務めている。

(左から)根岸氏、辻氏、北河氏、徳丸氏/piyokango氏は顔出し不可のため、以前撮影した写真を使用

審査の評価軸は3点だ。まず、事故が発覚してから第一報までのスピード、そして続報の頻度。次に発表の内容がより詳しいものだったか、原因や被害範囲、対応内容などの情報が含まれていたか。最後に、そのプレスリリースが自主的に出されたものだったかどうかである。

今回の評価対象期間は2019年1月から12月まで。そのなかで起きた数百件のセキュリティ事故を検討し、特に優れた事故対応をノミネートとして16件に絞り込んだ。

そのなかからさらに優秀賞や最優秀賞が選ばれるわけだが、今回は特別に「殿堂入り」というタイトルが設けられた。選ばれたのは通販事業を行うディノス・セシールである。殿堂入りとしたのは、ディノス・セシールが毎年、優れた事故対応を行っているからだ。

誤解ないようにしたいのは、同社のサイトのセキュリティが脆弱というわけではないこと。通販サイトという特性上、被害の原因はユーザー側にあることも多い。例えば、パスワードの使い回しが原因となり、リスト型攻撃を受けて不正アクセスされるケースは企業側では防ぎようがないものだ。だが、ディノス・セシールはそうした不正アクセス案件についても全て、対応を含めて公表してきた。数が少なくても自ら情報を発信する姿勢が高く評価され、今回殿堂入りというかたちで表彰されたのだ。

次に優秀賞だが、選出されたのはスマートフォンゲーム「偽りのアリス」の開発/運営を行うビジュアルアーツである。

昨年、同ゲームにネットワーク障害が発生した際、ユーザーへの情報提供スピードやイラストを活用したわかりやすい説明が高く評価された。

少数精鋭で行われたスピーディーな対応

当日は、「偽りのアリス」の開発者である武内郡氏と山田耕輝氏が出席。実際にどのような対応を行ったのかについて解説した(関連記事『放置系スマホRPG「偽りのアリス」、ユーザー最重視の障害対応 [事故対応アワード受賞レポート]』)。

(左から)ビジュアルアーツ 武内郡氏、山田耕輝氏

障害が発生したのは2019年12月18日のことだった。「偽りのアリス」は本番環境と開発環境が同じネットワーク上にあり、開発環境にアクセスできなくなったことで事態が発覚したという。さらに不運だったのは、公式サイトも同じサーバ上にあったことだ。全てが一斉にダウンしてしまったため、ユーザーへの告知のすべがSNSしかなくなってしまったのである。

そこからの判断は早かった。サーバが落ちていることが判明してから約5分後にはTwitterで状況を報告。ユーザーへの丁寧なケアを行った。

「『偽りのアリス』は運営メンバーが6~7名と少なく、その分意思決定が早いというメリットがあります。このときの対応も上に確認することなく、私たちの判断で即座にTwitterを更新しました」(武内氏)

さらに同社の対応で特徴的だったのは、障害の内容をイラストで説明したこと。Twitterで長文を書いてもわかりにくいし、リンクを張ろうにも公式サイトが落ちている。そこで思いついたのが、説明をイラスト化してTwitterに載せるという方法だったのだ。このイラストが丁寧かつ素人にもわかりやすいものだったことが、ユーザーの信頼回復に大いに役立った。

審査員のpiyokango氏はこの点について「障害発生中にこのイラストを作ったというのは、信じられないほどの対応力の高さ」と絶賛する。

実は「偽りのアリス」の運営チームでは、今回のような事態が起きた際にTwitterをユーザーとの連絡ツールとして使うことが想定されていたという。「何かあったときはとりあえずTwitter(でお知らせする)ということはもともと方針として持っていました」(武内氏)

結果的に「偽りのアリス」は評価を落とすこともなく、むしろユーザーの信頼を勝ち得ることができた。事故対応を適切に行うメリットがよく表れた例と言えるだろう。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

放置系スマホRPG「偽りのアリス」、ユーザー最重視の障害対応 [事故対応アワード受賞レポート]

放置系スマホRPG「偽りのアリス」、ユーザー最重視の障害対応 [事故対応アワード受賞レポート]

スマホゲームに障害が発生したが、Twitter公式アカウントで状況を随時報告し、図版を使って障害箇所・復旧状況を説明したことで大きな反響を呼んだ。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る