ロゴ

Designed by カミジョウヒロ

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰する「情報セキュリティ事故対応アワード」。第6回目となる今回は、2021年2月26日にオンライン開催された。

セキュリティ事故の多くは、外部からの攻撃や悪意ある従業員の手によって発生する。事故に遭った企業が最も責任を持つべきは、その後の対応だ。そこで、同アワードは、事故対応時の説明責任や情報開示に焦点を当て、今後の模範となる説明/情報開示パターンを国内のセキュリティ担当者に対して周知していくことを目指す。セキュリティ分野の有識者が審査員となり、事故対応が優秀な企業として最優秀賞/優秀賞/特別賞を毎年選出している。

審査員は、EGセキュアソリューションズ 代表 徳丸浩氏、NTTコム ソリューションズ マネジメントソリューション本部 セキュリティソリューション部 北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名が務める。今回のアワードの調査期間は2020年1月〜12月の1年間で、数百件のセキュリティ事故が対象となった。

イベント当日は、受賞企業の表彰および5名の審査員によるパネルディスカッションが実施された。本稿では、その様子の一部を紹介したい。

審査員

「情報セキュリティ事故対応アワード」審査員 上段左から辻伸弘氏、北河拓士氏、piyokango氏。下段左から、根岸征史氏、徳丸浩氏

クラウドサービス選定時に事故対応の視点を

今回のアワードにノミネートされた事例は19件。「事故発覚から第一報までの期間、続報の頻度」「発表内容(原因/事象、被害範囲、対応内容)」「自主的に情報公開したかどうか」を主な評価軸として審査が行われ、暗号資産取引所を運営するコインチェックが優秀賞を受賞した。そのほかにも優秀賞1件、特別賞3件が選出されていたが、残念ながら辞退となった。

コインチェックは、2020年6月、同社が利用するドメイン名登録サービスの社有アカウントに不正アクセスを受けたことで、登録情報が何者かによって書き換えられてしまうドメイン名ハイジャックに遭った。しかし、早期発見と迅速な対応により、甚大な被害には至らなかった。さらに、インシデント発生後に詳細なレポートを公表したことも評価され、今回、優秀賞として選出された。

根岸氏は、選出理由について「事故対応自体も良かったが、ほかの企業が同じ被害に遭わないようにと、ブログや講演などで積極的に情報共有したことも評価に入れている」と説明。「こうした活動がほかの企業にも広まると良いと思う」とコメントを寄せた。

当日は、事故対応にあたったコインチェック サイバーセキュリティ推進部長 喜屋武慶大氏も登壇。事故当時について次のように振り返った。

「ドメイン名登録サービス運営元の協力も必要になったため、ハンドリングしづらく、影響範囲の調査や復旧の判断が難しかったです。クラウドサービスを利用している企業は増えてきていると思いますが、こうした事故は自社だけで対応するのが困難です。同じような被害に遭う企業が少しでも減らせればと思い、積極的に情報公開することにしました」(喜屋武氏)

喜屋武慶大氏

コインチェック サイバーセキュリティ推進部長 喜屋武慶大氏

これに対し、辻氏が「レポートには時系列の詳細な説明が盛り込まれているほか、SlideShareなどでも情報が共有されている。どのように組織として情報を発信していこうという流れになったのか」と問うと、喜屋武氏は「もともと情報を積極的に共有する文化が社内に根付いている」と、企業文化の影響が大きいことを示した上で、「こうしたデリケートな情報を発信するにあたっては、出し方やその頻度に気をつけるべきという意見もあったが、ユーザーへの説明責任という観点から、出せるものは出すという意識のほうが強くあった」と当時の心境を語った。

また、事故対応時にクラウドサービス運営元のハンドリングが難しいという問題について、根岸氏は「事故が起きて初めてわかることもあるが、窓口のわかりやすさやサポートのスムーズさも、クラウドサービス選定の要素になりえる」とコメント。クラウドサービス選定時に事故対応の視点を取り入れることの重要性が今後増していくとした。

参加申込み者が2020年に最も良かったと感じた事故対応は?

審査員5名によるパネルディスカッションでは、まず、本イベントへの参加申込者に対する「2020年内で良かったと思う事故対応をした企業/団体」のアンケート結果が発表された。1位は、東京証券取引所、2位はカプコンという結果になった。

東京証券取引所は、システム障害により終日取引停止となった事故に対する記者会見が高評価を集めたかたちだ。これに加え、調査報告書についても高く評価しているという北河氏。「通常であれば、調査報告書は第三者委員会が作成するものだが、今回は社外取締役の久保利英明弁護士を中心にまとめられた。久保利弁護士は、第三者委員会報告書格付け委員会の委員長も務めており、報告書はツボを心得た非常にわかりやすく公平な内容だった」とその印象を語った。

ランサムウェア感染による情報流出に対応したカプコンがランクインしたことに対し、根岸氏は「意外な結果」と述べた上で、「VirusTotalなどのサイトに検体を送信すると、そこから被害企業が明らかになり、被害企業と攻撃者とのやり取りなどが暴露されてしまうケースが相次いでいる。その内容が報道されてしまうとコントロールがしづらくなるため、被害の当事者からすると公表するタイミングが難しい」と、ランサムウェア感染による事故対応の難しさを指摘した。