道半ばだが継続の意義を確認した10年の節目 - 第10回情報セキュリティ事故対応アワード開催レポート

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント「情報セキュリティ事故対応アワード」が10回目の節目を迎えた。6月18日にハイブリッド形式で開催された今回は、2024年を対象にインシデントレスポンスが優れていた企業・組織を選定。審査委員長特別賞の受賞企業による講演と、審査員による10年間の振り返りが行われた。本稿ではその様子をレポートする。

審査員

• SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏（審査委員長）
• EGセキュアソリューションズ 取締役 CTO/独立行政法人情報処理推進機構（IPA） 非常勤研究員/技術士（情報工学部門） 徳丸浩氏
• NTTセキュリティ・ジャパン プロフェッショナルサービス部 北河拓士氏
• インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏
• 脅威情報分析チーム LETTICE piyokango氏

2024年の受賞結果：優秀賞は辞退、特別賞と審査委員長特別賞が受賞

本アワードは、セキュリティ事故後の優れた対応を評価し、褒める文化を醸成することで、企業の積極的な情報公開を促進し、社会全体のサイバーセキュリティ向上を目指すものだ。2016年にスタートし、早くも10回目の開催となった。

審査委員長の辻氏は、事故対応の評価軸として「事故発覚から第1報までの期間・続報の頻度」「発表内容の有用性（原因・事象、被害範囲、対応内容）」「自主的な情報公開」の3点を挙げ、10年間一貫してこれらの観点で審査してきたと説明した。

今回の評価対象期間は2024年1月〜12月で、候補として挙がったのは25件。このうち優秀賞2件が選出されたものの、いずれも辞退となった。最終的に特別賞1件、審査委員長特別賞1件が表彰された。

特別賞：大学共同利用機関法人 情報システム研究機構 国立遺伝学研究所

特別賞を受賞したのは、国立遺伝学研究所。国際塩基配列データベース連携「DDBJ」に対するサイバー脅迫への対応が評価された。攻撃者が「盗んだ」と主張する情報が実際は公開情報であることを明確にし、脅迫に屈しない毅然とした対応を行った点が高く評価された。

• 国立遺伝学研究所のプレスリリースページ

同研究所は受賞コメントで「今回のサイバー脅迫は、科学と社会をつなぐ公共事業に対する深刻な脅威です。オープンサイエンスを推進する学術機関への攻撃は、世界の知の発展そのものに対する攻撃であり、DDBJは断固として反対いたします」と強い姿勢を示した。

piyokango氏は「通常であれば少しぼかして書くような脅迫グループの名前や内容も詳細にリリースに記載し、影響がないことをはっきりと書いている。調査をしっかり行ったうえでの発表で、こういう対応を取ることもできるという選択肢を示した」と評価した。

辻氏はプレスリリースの言葉や受賞コメントを受けて、「熱い表現や強い姿勢が印象的。自分たちの責任と使命に真摯に向き合っている姿勢が感じられる」と述べた。

根岸氏は「審査員のなかでも意見が割れた事例。全ての組織が同じ対応をすべきとは思わないが、どこまでの対応なら自社でできるかを考える参考になる」と付け加えた。

審査委員長特別賞：佐川急便

審査委員長特別賞は、佐川急便が受賞。自社が直接被害を受けていないにもかかわらず、2012年より12年間にわたって44件の偽サイトや不審SMSの事例を継続的に公開してきた取り組みが評価された。

• 

  左から佐川急便 東京本社 デジタル企画部 部長の川村博之氏と、審査委員長の辻伸弘氏

• 佐川急便のプレスリリースページ
• 受賞企業インタビュー

同社 デジタル企画部の田中嘉一氏は講演で、フィッシング詐欺への対応について詳細に説明。「宅配便は誰でも利用するサービスのため、攻撃者に狙われやすい。ECサイトで購入してもどの業者が配達するか分からず、予期しない荷物も届くため、利用者の心理を突かれやすい」と攻撃者の狙いを分析した。

この12年で対応すべき問題は変化してきているという。初期は「sagawa」を含むドメインの偽サイトが中心だったが、スマートフォンの普及によりSMSによるスミッシングや不正アプリなど手口が多様化。最近では、偽サイトのテイクダウン対策として「sagawa」を含まないドメイン、短縮URLやリダイレクト、ダイナミックDNSを使った手法に変化してきている。2023年には偽サイトのテイクダウン翌日にDDoS攻撃を受けるなど、報復攻撃も経験。2024年には「赤羽営業所」と具体的な営業所名を騙るメールで、無関係な地域からも問い合わせが殺到し業務に支障が出たケースも紹介された。

しかし、地道に対応を続けた結果、詐称行為自体は減少しているという。田中氏は「あきらめないことの重要性を実感した。お客さまに安心して荷物を受け取ってもらえる会社であるために努力を続けていく」と語った。

徳丸氏は「ドメイン名から『sagawa』の文字列が消えたのは検知回避のためという見立てが興味深い。一般利用者からすると『sagawa』という文字列が入っているほうが騙されやすいように思うが、検知されるデメリットのほうが大きいと攻撃者が判断したということ」と洞察を示した。

根岸氏は「10年以上継続している企業は世界的に見ても稀ではないか。体制をつくって続けていることは相当なこと」と継続性を高く評価した。

なお、北河氏による「一般利用者側ができる対策は?」という質問に対して、田中氏は「当社からSMSは一切送っていないので、SMSは詐欺と即答できる」と回答した。

この10年で「テンプレート化」「二極化」が進む

パネルディスカッションでは、10年間の変化について議論された。

piyokango氏は、「情報漏えい報道への『慣れ』を感じる。以前は大規模漏えいで記者会見が開かれていたが、最近ではリリース1、2枚で済まされるケースも多く、学びを得るのが難しくなっている。過去の情報に頼らざるを得ないが、脅威は変化する」と危機感を示した。

辻氏は、「詳細に情報公開する企業とテンプレートで済ませる企業の二極化が進んでいる。中間がないため、多くの企業がテンプレ的な対応に流れがち。また、現場は公表したくても経営層の理解が得られないケースも多い」と分析した。

• 

  左から辻伸弘氏、徳丸浩氏

根岸氏は、「国の『サイバー攻撃被害に係る情報の共有・公表ガイダンス』のような指針もあるが、事前のアンケートを見ると『どこまで情報を公開していいか分からない』という声が依然として多い。ガイドラインの認知度や実効性には課題がある」と問題提起した。

徳丸氏はクレジットカード情報漏えい事例について、「被害額は年々増加しているが、公開内容はテンプレート化が進んでいる。『セキュリティ対策はしていなかったのか』という質問への回答まで定型化している」と現状を憂慮した。

北河氏は、岡山県精神科医療センターのランサムウェア事案調査報告書の事例を取り上げ、「第三者委員会の報告書は非常に詳細で専門家には貴重だが、同じ被害を受ける可能性のある組織が教訓として学ぶには詳細すぎる。要点をまとめた概要版があれば、より多くの組織で対応が進むのではないか」と提案した。

• 

  左から北河拓士氏、根岸征史氏、piyokango氏

審査委員長「あと10年は続けていく」

10年間で受賞対象となった企業の辞退理由を分析すると、「露出を控えたい」「迷惑をかけたので表彰は辞退」「蒸し返されたくない」といった声が多く見られた。これを受けて根岸氏は「本アワード開始当初は10年後にはもっと良い状況になっていると想像していたが、まだ道半ば。事故を起こしたことと事後対応の評価を切り離して考えるという我々の思いが、まだ十分に浸透していない」と率直に語った。

審査委員長の辻氏は「10年の節目を迎えたが、まだやれることはある。国からのトップダウンとこうした草の根活動の両輪で進めていきたい。あと10年は続けていく」と継続への意欲を示した。

10回目の開催を通じて、情報公開の重要性は認識されつつも、実践面での課題は依然として多いことが浮き彫りになった。それでも、優れた事故対応事例を共有し、セキュリティ向上につなげるという本アワードの意義は変わらない。セキュリティ業界が「揚げ足を取る」のではなく「褒める」文化を醸成することで、より多くの組織が前向きに情報共有に取り組める環境が生まれる。11回目以降も、専門家だけでなく、業界に関わる全ての人が「褒める」文化の担い手となることで、より開かれた情報共有の実現が期待される。