マイナビニュースマイナビ

クラウドサービス利用で複雑化する事故対応 - 第6回「情報セキュリティ事故対応アワード」開催レポート

[2021/03/30 09:00]周藤瞳美 ブックマーク ブックマーク

5名の審査員が注目した2020年のインシデント

続いてパネルディスカッションは、各審査員が注目したインシデントの話題に移った。

徳丸氏が挙げたのは、ふくい産業支援センターが運営する企業支援サイト「ふくいナビ」の障害だ。同事案では、クラウドサーバの運用を受託していた事業者の手続きミスにより、バックアップを含むクラウド上の全データが消失してしまった。後の調査により、オンプレミスで利用していた旧サーバにバックアップデータが残っていたことが判明したため復旧に至ったが、インシデント発生当初はその事実を同センターが把握しておらず、「復旧が不可能な状態」と説明されていた。

「事業継続を考える上で貴重なインシデントでした。契約内容は盲点になりやすいので、クラウドサービスの選定時には気をつけるべきです。通常だと、クラウドサービスは契約解除後も一定の猶予期間を設ける場合が多くなっています。しかし、本件では情報漏えいのリスクを考慮してか、契約期間終了後にデータを保持せず削除する規約になっていました」(徳丸氏)

北河氏は、総務省の「行政不服審査裁決・答申検索データベース」上に公開されたPDFファイルに個人情報が含まれていた新潟県庁の事案を挙げた。同庁は事案発覚後、新潟県のホームページで公開および外部に提供したPDF/Office文書約9万件について全庁調査し、その結果を公表した。「9万件に対して調査したことは素晴らしい」と北河氏は評価する。

また、託送料金計算システムの障害により、一部利用者への電気料金請求書送付遅延や小売電気事業者への誤請求が発生していたという九州電力のインシデントを挙げたのは根岸氏である。最終報まで9回にわたって調査結果が詳細に報告されたことに対し「事故原因は複雑だが、事故対応としても見習えるところは多い」とコメントした。

辻氏は、小樽観光協会によるEmotetメールへの注意喚起を挙げた。同協会は、職員の名前や観光協会のアドレスを悪用したなりすましメールが多発したことを受けて、不審メールの見分け方など詳細な情報をWebサイトに掲載した。これに対し辻氏は「JPCERT/CCのリンク掲載やコピペで終わりではなく、自分たちで調べて読みやすくわかりやすいかたちで伝えている」と評価した。

piyokango氏は、三菱重工グループ 名古屋地区において、従業員端末が在宅時に個人SNS経由でマルウェア感染した事案を挙げた。

「コロナ禍の象徴的なインシデントの1つです。比較的うまく取り回しされていたと思います。2011年に発生した情報流出事故のプレスリリースに比べて、より細かくわかりやすくなりました。この10年で改善されたという点に興味関心を持ちました」(piyokango氏)

関係者の意識を変え、”アワード受賞辞退ゼロ”を目指す

今年で第6回目を迎えたセキュリティアワード。回数を重ねてきたものの、いまだに受賞を辞退する企業が目立つのは残念だ。辻氏は、「『被害者がいるのに何を言ってるんだ』という雰囲気をつくらないよう、良い事故対応があればハッシュタグを付けてSNSに投稿するなど、見ている側も変わっていく必要がある。時間は掛かると思うが、”受賞辞退ゼロ”を目指していきたい。長い目で見て付き合っていただければ」と今後の展望を語った。

情報セキュリティ事故に遭った企業を責めるのではなく、その後の対応が良かった点にフォーカスすることは、企業活動はもとより、社会にとっても大きなメリットがある。ぜひ、セキュリティ事故に遭遇した際の対応について、改めて見直す機会としてほしい。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

ドメイン名ハイジャックに備えよ! コインチェックの対応から得られた教訓 - 情報セキュリティ事故対応アワード2020受賞レポート

ドメイン名ハイジャックに備えよ! コインチェックの対応から得られた教訓 - 情報セキュリティ事故対応アワード2020受賞レポート

2020年6月、コインチェックが利用するドメイン名登録サービスの社有アカウントが不正アクセスを受け、登録情報が何者かによって書き換えられてしまった。しかし、コインチェックによる早期発見と迅速な対応により、甚大な被害には至らなかった。さらに、インシデント発生後に詳細なレポートを公表したことも評価され、コインチェックは今回、「情報セキュリティ事故対応アワード 2…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る