不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント『情報セキュリティ事故対応アワード』。今年もオンラインにて開催いたしました。

今回は数百件のセキュリティ事故を対象に審査員が厳選し、優れた対応19件をノミネート。そのなかから、特に素晴らしかった組織を表彰いたしました。

主催:情報セキュリティ事故対応アワード実行委員会

後援:経済産業省

ロゴデザイン:カミジョウヒロ

審査概要

審査委員

  • 徳丸 浩 氏:EGセキュアソリューションズ株式会社 取締役 CTO / 独立行政法人情報処理推進機構(IPA)非常勤研究員 / 技術士(情報工学部門)
  • 北河 拓士 氏:NTTセキュリティ・ジャパン株式会社 プロダクトセールス&サポート部
  • 根岸 征史 氏:株式会社インターネットイニシアティブ セキュリティ情報統括室長
  • 辻 伸弘 氏:SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー
  • piyokango 氏:セキュリティインコ

審査基準

  • 事故発覚から第一報までの期間、続報の頻度
  • 発表内容 (原因・事象、被害範囲、対応内容)
  • 自主的に情報公開したか

審査対象期間

2021年1月~2021年12月

特別賞

  つるぎ町立半田病院

【インシデント概要】

Lockbit 2.0によるランサムウェア攻撃の被害に遭い、電子カルテシステムが停止。

【受賞理由】

災害対策用に作成していた事業継続計画に基づいて職員一丸となって対応を行い、医療を継続。また、メディアを通じてインシデントおよび対応内容を詳細に明かしたことで、医療機関もランサムウェア攻撃の対象となりうることを改めて知らしめ、多くの組織にとって対策を見直す機会となった。

【受賞インタビュー】

災害対応訓練がランサムウェア被害にも活きた - 徳島・半田病院に学ぶBCPの重要性[事故対応アワード受賞

優秀賞

  株式会社メルカリ

【インシデント概要】

Codecovへの攻撃を契機に、同サービスを利用していたメルカリのGitHub内のプログラムが不正アクセスの被害に。 GitHub内に格納されていた昔のプログラムから顧客関連データが窃取された。

【受賞理由】

事故原因、対応内容を詳細に明かし、顧客や関係者と真摯に向き合う姿勢を示した。また、ソフトウェアのサプライチェーンに潜むリスクを改めて知らせ、セキュリティ関係者に一考の機会を与えた。

【受賞インタビュー】

ソフトウェアサプライチェーン攻撃からいかに自組織を守るか? - メルカリ事故対応からの教訓 [事故対応アワード受賞

審査員長特別賞

  Classi株式会社

【インシデント概要】

2020年に開発関係者がフィッシング攻撃を受けて、GitHubの認証情報が漏洩。GitHub内のソースコード内に含まれていたAWSアクセスキーを用いてデータベースサーバに侵入され、会員情報が窃取された。

【受賞理由】

多くの組織が、対応策の発表をもってインシデント対応の発表を終えるなか、 対応策の進捗についても逐次発表。約1年後の2021年5月に最終発表を行った。その真摯な対応がセキュリティ関係者の参考になるものであるため、インシデントは選考対象期間外の2020年のものだが、審査員長特別賞として表彰。

【受賞インタビュー】

「すべてはお客様のために」 - Classiがセキュリティ対策状況を公表し続けたシンプルな理由 [事故対応アワード受賞]

授賞式レポート

  受賞組織の共通点は「文化」の醸成 - 第7回「情報セキュリティ事故対応アワード」開催レポート