Designed by カミジョウヒロ

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント「情報セキュリティ事故対応アワード」。第7回を迎えた今回は、例年と時期をずらして2022年6月28日に開催。3つの組織が各賞を受賞した。イベント当日は、受賞企業の表彰と審査員によるパネルディスカッションが行われ、セキュリティ事故に遭遇した際の対応について議論された。本稿では、その様子の一部をレポートする。

特別賞・優秀賞・審査員特別賞を受賞した組織は?

情報セキュリティ事故対応アワードの審査員は、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏(審査員長)、EGセキュアソリューションズ 取締役 CTO 徳丸浩氏、NTTセキュリティ・ジャパン プロダクトセールス&サポート部 北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名が務める。

関係機関との協力状況も踏まえ、事故発覚から第一報までの期間にどれだけの時間を要したか、続報の頻度、原因・事象・被害範囲・対応状況といった発表内容が適切であったか、自主的に情報公開したかといった項目がアワードの評価軸となる。今回の調査対象期間は、2021年1月〜12月の1年間。数百件の調査件数のうち、ノミネート件数は19件。この中から、優秀賞1件、特別賞1件、審査員長特別賞1件が選出された。

職員が一丸となって対応し、その内容を詳細に公開 - つるぎ町立半田病院

特別賞を受賞したのは、徳島県・つるぎ町立半田病院。電子カルテシステムがランサムウエアに感染したことにより通常の診療が困難になった事故において、事業継続計画に基づき職員一丸となって医療を継続した。

受賞のポイントとなったのは、メディアを通じて事故対応内容を詳細に明かしたことで、規模の小さな医療機関でもランサムウエア被害の対象になり得ることを改めて周知し、多くの組織が対策を見直す機会となった点だ。また、病院一丸となって事故対応にあたった姿勢も評価された。

表彰式にオンラインで登壇した同院の須藤泰史氏は「できなかったことも多くあったが、日本の医療機関に貢献できれば」とコメント。また、2022年6月にランサムウエアの被害を受けた徳島県・鳴門山上病院の理事長と面識があることを明かし、鳴門山上病院が半田病院の事故を参考にオフラインバックアップを取得していたことで、被害拡大を抑え迅速な対応ができていたことを紹介した。

  • つるぎ町立半田病院 病院事業管理者 須藤泰史氏

DevSecOpsカルチャーの重要性を共有していきたい – メルカリ

優秀賞は、メルカリが受賞した。コードカバレッジツール「Codecov」利用に起因する第三者からの不正アクセスにより、ソースコードの一部および一部顧客情報が流出した事故において、原因・対応内容を詳細に公開し、顧客や関係者と真摯に向き合う姿勢を示した点、また、ソフトウエアのサプライチェーンに潜むセキュリティリスクを改めて周知した点が評価された。

当時同社の執行役員CISOとしてインシデント対応を指揮した曾川景介氏(現メルペイ/メルコイン取締役CISO)は表彰式で、「開発の生産性およびディベロッパー・エクスペリエンスを保ちながらサプライチェーンにおけるセキュリティリスクと向き合う必要があります。組織としてセキュリティを大事にするDevSecOpsカルチャーの重要性を、組織を超えて皆さんの組織にも共有していきたいと考えています。お互いに学び合っていくことが大切です」と聴講者にメッセージを送った。

  • (右)メルペイ/メルコイン取締役CISO 曾川景介氏

長期に渡り対応策の進捗を発表した真摯な姿勢を評価 - Classi

また、審査対象期間外だったものの長期に渡る対応が評価され、Classiが審査員特別賞に選ばれた。2020年4月、Classiは攻撃者によるAWS本番環境への不正侵入と情報窃取の被害を受けた。多くの組織が対応策の公表をもって事故対応に関する発表を終える中、同社は対応策の進捗についても逐次発表し、約1年後に最終発表を行った。こうした真摯な対応はセキュリティ関係者の参考になるとされ、審査員特別賞の受賞に至った。

表彰式に登壇した同社 サイバーセキュリティ推進部 部長 井浦博人氏は、情報公開時に大切にしたこととして「お客さま本位/公明正大を前提とし、お客さまに利益を届ける」「お客さまの不利益になるような情報公開はしない」の2点を挙げ、「経営の観点から企業利益の保護に目を向けがちですが、お客さまの未来を担っている責任から、お客さま目線で対応するよう心掛けました」と振り返った。同社では事故後に抜本対策プロジェクトと組織改革プロジェクトを立ち上げ、現在も全社的な取り組みを継続しているという。

  • Classi サイバーセキュリティ推進部 部長 井浦博人氏