Designed by カミジョウヒロ

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント「情報セキュリティ事故対応アワード」。第9回となる今回は、2023年を対象にインシデントレスポンスが優れていた企業を選定した。6月11日には、受賞企業の表彰と審査員によるパネルディスカッションが行われた。本稿ではその様子の一部をレポートする。

審査員

  • SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
  • EGセキュアソリューションズ 取締役 CTO 独立行政法人情報処理推進機構(IPA)非常勤研究員 技術士(情報工学部門) 徳丸浩氏
  • NTTセキュリティ・ジャパン コンサルティングサービス部 北河拓士氏
  • インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏
  • piyokango氏

2023年は、優秀賞2件・特別賞1件・審査員長特別賞2件

本アワードは、セキュリティ事故への適切な対応を評価し、褒める文化を醸成することで、企業の積極的な情報公開を促進し、社会全体のサイバーセキュリティ向上を目指すものだ。審査員長の辻氏は、事故対応の評価軸として、事故対応から第一報までの期間・続報の頻度、発表内容の有用性、自主的な情報公開の3点を挙げた。

今回の評価対象期間は2023年1月~12月で、ノミネート件数は32件。ここから優秀賞4件、特別賞1件、審査員長特別賞2件が選出された。このうち、2件の優秀賞は残念ながら辞退となった。以下では、受賞企業とその理由について紹介する。

優秀賞:OLTA

優秀賞1件目は、クラウド請求書プラットフォーム「INVOY」などを提供するOLTA。調査結果を迅速かつ詳細に公表した点、スクリーンショットを掲載してユーザーにどのような影響が出ていたのか分かりやすく説明していた点が評価された。セキュリティ担当者にとっては、「Cross Request State Pollution(クロスリクエスト情報汚染) 」という珍しい事例だったのも注目すべきポイントとなる。

「事故発生日に公表するなどスピード感をもった対応でした。同じ事故に遭ったとき自社で同じような対応ができるか、リリースなどを参考に検証してみていただきたいと思います」(piyokango氏)

詳細はこちら

優秀賞:クラスメソッド

優秀賞2件目は、AWSの技術支援などを行うクラスメソッド。障害発生の翌日に発生経緯から再発防止策までをポストモーテム(事後検証)というかたちで詳しく公表した点が評価された。

「報告書は、説明責任を果たし、顧客からの信頼を維持する内容でした。再発防止策では、根本原因を徹底的に追求し、組織的・構造的な問題点を指摘して具体的かつ実効性のある対応策が挙げられていました」(北河氏)

詳細はこちら

特別賞:志布志市役所

特別賞に選出されたのは、志布志市役所。クレジットカード情報漏洩事故において、外部サービスの脆弱性に起因するクロスサイトスクリプティングが原因であることを明かした点が評価された。

「クレジットカード情報漏洩事故のプレスリリースの大半はテンプレートに沿った内容ですが、志布志市役所は非常に詳細な内容まで記載しており、他のサイトやセキュリティ専門家の参考になるものでした」(徳丸氏)

詳細はこちら

 審査員長特別賞:ノースグリッド

審査員長特別賞の1件目は、オンラインストレージ構築パッケージ「Proself」を提供するノースグリッドが受賞した。脆弱性発覚後に第8報まで情報公開したことに加え、ユーザーに対して攻撃を受けたかどうか確認する方法を説明していた点が評価された。当時、事故対応にあたった同社の菊池敏幸氏は、講演で「お客さまから確認したいという要望を多くいただいたので、プレスリリースで詳細を説明するに至った」と説明した。

「被害に遭っているかどうかを確認する方法がソフトウエアベンダーから公開される事例はやっといくつか出始めてきたところで、現状では確認する術がないケースのほうが多いのです。そうした観点では注目すべき事例だと言えます」(辻氏)

  • ノースグリッド 菊池敏幸氏

詳細はこちら

審査員長特別賞:菱機工業

もう1件の審査員長特別賞は、空調・給排水設備の設計や施工などを手掛ける菱機工業。ランサムウエア被害の確認後に即日情報公開した点、セミナーや取材対応などで詳細情報をセキュリティ関係者に共有した点などが評価された。

同社の小川弘幹氏は講演で、「まさか自社が狙われるとは思っていなかった。他社でも同様の被害が出ないよう情報共有を決意した」と語った。事故対応時には身代金の支払いについても議論したというが、最終的には支払わない方針を決定。基幹システムの復旧を最優先し、協力会社への支払いを遅延なく行えるよう尽力した。また小川氏は「バックアップのリストア訓練を年2回行っていたことが復旧に非常に役立った」とも強調していた。

  • 菱機工業 小川弘幹氏

詳細はこちら

事故対応の好事例がブランドになる世界を目指して

パネルディスカッションでは、ノミネート企業の対応のレベルが上がっているという認識を示す審査員が多かった。北河氏は「受賞には至らないものの、積極的に情報公開する流れが出てきている印象」と振り返る。根岸氏も「対応のタイムラインを詳しく記載している事例が多かった。こうしたケースは以前にはあまり見られなかった」とする。一方で、piyokango氏からは「業界全体としては、他社の事例を参考にしていれば防げた被害も多い」との指摘もあった。事故対応に関する情報へのアクセシビリティ向上は業界の課題と言えるだろう。

  • 左から北河拓士氏、根岸征史氏

根岸氏は総務省などが公表する「サイバー攻撃被害に係る情報の共有・公表ガイダンス」についても言及し、辻氏はこうした国からの働きかけと、情報セキュリティ事故対応アワードのようなボトムアップでの取り組み両方の重要性を訴えた。

徳丸氏は菱機工業の事例から「取引先への対応も含め、全体的なダメージコントロールとしての枠組みが広がってほしい」と期待を寄せ、根岸氏は良い対応をした企業が評価されるサイクルの必要性を訴えた。

  • 左からpiyokango氏、辻伸弘氏、徳丸浩氏

最後に辻氏は「プレスリリースには載らないような部分も含めて発表できる場にすることで、良い対応がブランドになる世界にしていきたい」と、来年の情報セキュリティ事故対応アワード10周年に向けた意気込みを見せた。事故対応の好事例を称えるこの機会が10年、20年と続いていくことで、セキュリティ対策は企業価値を高めるものだと広く認知される日が来ることを期待したい。

「【第9回】情報セキュリティ事故対応アワード」