Designed by カミジョウヒロ

第11回情報セキュリティ事故対応アワードの表彰式およびパネルディスカッションが5月14日、東京ビッグサイトにて開催された。同アワードは、サイバー攻撃などのセキュリティ事故に見舞われたものの、その後の対応が優れていた企業を有識者が評価・表彰する制度だ。事故を起こしたこと自体を責めるのではなく、事後の優れた対応を社会全体で共有し、今後の模範とすることを目的としている。

本稿では、第11回を迎えた今回のアワードにおける受賞企業の取り組みハイライトと、5名の審査員によるパネルディスカッションの模様をレポートする。

審査員

  • ソフトバンク プリンシパルセキュリティリサーチャー 辻伸弘氏(審査委員長)
  • EGセキュアソリューションズ 取締役 CTO 技術士(情報工学部門) 徳丸浩氏
  • NTTセキュリティ・ジャパン プロフェッショナルサービス部 北河拓士氏
  • インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏
  • セキュリティインコ(piyolog運営者)/脅威情報分析チーム LETTICE piyokango氏

迅速性・透明性・具体性が評価された3つの受賞事例

今回の評価対象期間は2025年1月~12月。事故発覚から第1報までの期間・続報の頻度、発表内容(原因・事象、被害範囲、対応内容)の有用性、自主的な情報公開といった評価軸を基に、ノミネートされた25件のなかから優秀賞2件、特別賞1件が選出された。

優秀賞:美濃工業

ランサムウェア被害という深刻なインシデントに直面しながらも、発生初期から最終報告に至るまで一貫して詳細な情報開示を行った。攻撃手法や侵入経路にまで踏み込んだ技術情報を提供するとともに、初動対応から復旧までのタイムラインを明確に整理。同社 代表取締役副社長の杉本崇氏は「自動車産業のサプライチェーンを担う地域・業界のリーディングカンパニーとしての責任」から、「噂が広がる前にこちらから事実を出す」という強いリーダーシップで迅速な情報公開を実現した。

プレスリリースはこちら

  • 人物写真

    左から審査委員長の辻伸弘氏と、美濃工業 代表取締役副社長の杉本崇氏

受賞者インタビューはこちら

優秀賞:Emurasoft

テキストエディタ「EmEditor」の公式サイト改ざんによる不正インストーラ配布というソフトウェアサプライチェーン攻撃に遭遇。不完全な情報であっても発生当日中に第1報を出し、新しい事実が判明するたびに情報を更新した。同社 プレジデントの江村豊氏は、利用者視点に立った丁寧な説明と、実務的に活用できるFAQの充実、そして静的サイト化などよる安全な構造への移行を果断に行い、ポストモーテムとしても完成度の高い情報を業界に提供した。

プレスリリースはこちら

  • 人物写真

    左から徳丸浩氏と、Emurasoft プレジデントの江村豊氏

受賞者インタビューはこちら

特別賞:サトー

海外グループ会社が利用するクラウドサービスにおける情報漏えいにおいて、原因となったゼロデイ脆弱性をCVE番号付きで明確に公表した。同社 DX統括部 サイバーセキュリティ推進部 部長の鈴木健一氏は、パッチ管理を前提としたセキュリティの限界を指摘。「事実と推測を混ぜない」「過剰開示と説明責任を混同しない」といった明確な判断軸の下、技術的な原因を構造的に説明し、グローバル環境でクラウドを利用する他組織に重要な警鐘を鳴らした。

プレスリリースはこちら

  • 人物写真

    左から北河拓士氏と、サトー DX統括部統括部長の高橋邦安氏

受賞者インタビューはこちら

なぜ日本企業は詳細な情報公開ができないのか

イベント後半のパネルディスカッションでは、日本のインシデント対応と情報開示の現在地、そして課題について審査員5名による議論が交わされた。

長年ECサイトのクレジットカード情報漏えいをウォッチしている徳丸氏は、「リリースが目に見えて減っているのは被害が減っている証であり良いことだ」と前置きしつつ、「一方で、リリースの内容が完全にテンプレート化しており、新しい学びがない。今回表彰された3社のように、担当者の思いが感じられるような発表が少ない」と指摘した。

  • 人物写真

    左から辻伸弘氏と徳丸浩氏

北河氏も、情報開示の件数自体は増えているものの、その8〜9割がテンプレートどおりの開示であることに同意する。さらに海外の事例と比較し、「米国企業のほうが情報開示に積極的なのは、企業が『何をリスクと感じるか』の違いだ」と指摘。「日本では詳しく書くことで責任追及や炎上、取引先との調整といった追加リスクを意識しがち。しかし米国では、データ侵害通知法などで詳細な通知が義務付けられており、適切に開示しないことや影響を小さく見せようとすること自体が、巨額の制裁金や株主訴訟につながるリスクとなる」と、日米の法制度やリスク認識の違いを解説した。

  • 人物写真

    北河拓士氏

これを受けpiyokango氏は、「コントロールできる範囲にとどめようとする、守備的な情報開示が主流になりつつある」と分析する。「どんな手口でやられ、どんな対策が効果的だったのかという教訓が見えないと、また同じような事例が繰り返されてしまう」と警鐘を鳴らしつつ、企業単独での詳細な公表が難しい場合は、国家サイバー統括室(NCO)や個人情報保護委員会などの公的機関が、より教訓となる事例を積極的に発信していく公助の重要性も訴えた。

根岸氏も「日本だと情報公開によるマイナス面ばかりが目につく。美濃工業のように『やってみたらプラスしかなかった』という経験がないと、公開するメリットが分かりにくい状況になっている」と現状の難しさを語った。

  • 人物写真

    左から根岸征史氏とpiyokango氏

良い事故対応を評価する文化が社会を強くする

ランサムウェア被害の現状について、根岸氏は「普段利用しているサービスが止まるなど、人々の生活にインパクトのある事例が増え、身近になってきている。しかし、被害件数は減るどころか増えており、小規模な攻撃者の参入や中小企業への被害も拡大している。社会全体で取り組む意識はまだ道半ばだ」と危機感をあらわにした。

では、こうした状況を打破するために何が必要なのか。審査委員長の辻氏は、情報を受け取る側の姿勢の重要性を強調する。

「リリースの内容が濃ければ褒められるというわけでもなく、トップが矢面に立ってリーダーシップを発揮しているかどうかが外部の印象を大きく左右している」と辻氏は語る。そして、詳らかに情報公開された事例として岡山県精神科医療センターのランサムウェア事案に対する第三者委員会レポートを挙げた。

「バックアップが正しく取得されておらず復旧に3カ月を要したことや、推測容易なパスワード設定など、レポートには“あるある”な問題点が多数書かれています。それを読んで『自分たちの会社は大丈夫か?』と常に疑問を持つことが大切です。こうして詳らかに公開された事例から学びを得ていくことが、社会全体の底上げにつながります」(辻氏)

ディスカッションの最後に、辻氏は次のように呼びかけた。

「事故の対応が悪くてもビジネスに影響がないとなると、企業は本腰を入れません。逆に、良い対応や情報公開をした組織があれば、それを正当に評価し、褒めてほしいのです。インシデントの報告を見て『それでおしまい』ではなく、皆さん一人ひとりが顧客として、草の根的に声を上げ、良い対応を話題にしていく。そうした社会の圧力が、世の中を変えていくはずです」(辻氏)

インシデントは決して対岸の火事ではない。被害に遭った企業が勇気を持って開示した情報をどう受け止め、自組織の防御に活かすか。そして、優れた事後対応を社会全体で称賛し、学びを共有する文化をどう育てていくか。11回目を迎えたアワードの議論は、私たち一人ひとりの当事者意識を強く問うものとなった。