今年で2回目を迎えた情報セキュリティ事故対応アワード。経済産業省が後援につき、報道賞を新設するなど、さらに内容を拡充しての開催となりました。
完璧な防止策などなく、どの企業で起きても不思議ではない情報漏洩事件ですが、ITの歴史がまだ浅いこともあり、有事の対応策としては確立されたものがありません。
ユーザーファーストで、迅速かつ柔軟な行動が不可欠。二次被害を食い止めるためには、情報も適切に開示しなければなりません。こうした判断の難しい作業を問題なくこなした企業は誉められてしかるべきでしょう。
しかし、現在は、漏洩した事実を叱責する風潮が強すぎて、残念ながら、事後の対応に光が当たることはほとんどありません。担当者の好判断でどれほど多くのユーザーを救済できたとしても、社内でさえ評価されないのが実情でしょう。
そうした風潮を変えるべく開始したのが本アワードです。事故と対応を分けて考え、対応の方にフォーカスして優れた実績を残した企業・団体を表彰しました。
なお、今年の最優秀賞は、審査員全員が「過去にない対応」と大絶賛。セキュリティ関係者は一度ご覧になっておくべきでしょう。
(主催:情報セキュリティ事故対応アワード実行委員会 / 後援:経済産業省
ロゴデザイン:カミジョウヒロ)
審査概要
審査委員
-
徳丸 浩 氏 ... HASHコンサルティング株式会社 代表取締役 / 京セラコミュニケーションシステム技術顧問 / 情報処理推進機構(IPA)非常勤研究員
-
北河 拓士 氏 ... NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室
-
根岸 征史 氏 ... 株式会社インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア
-
辻 伸弘 氏 ... ソフトバンク・テクノロジー株式会社 シニアセキュリティリサーチャー
-
piyokango 氏 ... セキュリティインコ
審査基準
- 事故発覚から第一報までの期間、続報の頻度
- 発表内容 (原因・事象、被害範囲、対応内容)
- 自主的にプレスリリースを出したか
審査対象期間
2016年1月~2016年12月
最優秀賞
![]()
パイプドHD株式会社
![]()
【被害概要】
アパレル特化型ECプラットフォーム「スパイラルEC」により構築されたサイトに対して、外部からの不正アクセスが発生。個人情報がダウンロードされる。
【受賞理由】
第1報から第4報まで非常に詳細な報告書が出ていること。さらに、そのタイミングで社長自身が出演した20分にも及ぶ報告動画が掲載され、全社的に取り組む姿勢を見せている。
とにかく詳細なうえ、発表の頻度、利用された脆弱性、利用後の内容、上層部の対応、どれを見ても文句なしと受賞となった。
また、個人情報が流出したサービスだけでなく、同社が提供する他のプラットフォームへの影響について言及した点も高く評価された。
優秀賞
2社様を選出させていただきましたが、今回は残念ながら辞退でございました。
特別賞
![]()
株式会社スクウェア・エニックス
![]()
【被害概要】
2015年、ドラゴンクエストXにおいて、一部の武器の製造確率を高めるチート行為が発生する。その後、ユーザーコミュニティ内で本当の情報と嘘の情報が入り混じる事態に陥る。
【受賞理由】
一連のインシデントについての情報公開を、公式サイトのみならず、DQXTV(ニコニコ生放送の公式番組)においても実施。担当者が出演し、ゲーム内世界の経済への影響が軽微であることをグラフなどを用いてわかりやすく解説した。
チート行為を行った者への対処や、ゲーム内世界における影響について詳しく情報公開するのは珍しく、オンラインゲームの運営に関する情報公開の在り方を示す好例となっている。
【受賞インタビュー】
ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか
![ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか]()
2月21日に開催された「情報セキュリティ事故対応アワード」にて、オンラインゲーム『ドラゴンクエストX』を運営するスクウェア・エニックスが特別賞として表彰された。ドラゴンクエストXで何が起きたのか。そしてスクウェア・エニックスはその事態にどう対処したのか...続きを読む
特別賞
![]()
富山大学
![]()
【被害概要】
水素同位体科学研究センターの非常勤職員のPCが標的型メールによりウイルスに感染。当該PC内のデータが窃取される。PC内には1492名分の個人情報と研究データが保存されていたが、研究データに関しては公知のもの、発表前提のもののみで、機密情報には当たらなかった。
【受賞理由】
報告書では、攻撃手法やC2(Command and Control)サーバのドメインなどを通信発生時期とともに公開。セキュリティ従事者が自社システムで活かせる、価値の高い情報を共有した点が高く評価された。
報道賞
![]()
ITpro
![]()
【受賞記事】
『News & Trend JTBの事故対応手順が明らかに、非公開の報告書を読み解く』
【受賞理由】
事故から1カ月が経過し、各メディアの報道熱が下がっていた状況だったにも関わらず、被害企業が記者クラブ向けに発表した内容を詳細に分析したレポートを公開。事故発生当初は明らかになっていなかった事実に加え、他団体の報告書から推測される事後の影響なども記載しており、セキュリティ従事者が今後の対応を検討するうえで参考にできる記事となった。
授賞式レポート
最優秀賞は全員一致で決定! 第2回情報セキュリティ事故対応アワード開催レポート
IT Search+は2月21日、「第2回 情報セキュリティ事故対応アワード」を開催した。同アワードは、セキュリティ事故が起きてしまった後、説明責任・情報開示の観点から見て、優れた対応を行った団体・企業を表彰するイベントだ。第2回となる今回は、サイバーセキュリティに力を入れる経済産業省の後援を受けるとともに、報道賞も新設。第1回からさらにパワーアップした内容で開催された...続きを読む
審査委員
- 徳丸 浩 氏 ... HASHコンサルティング株式会社 代表取締役 / 京セラコミュニケーションシステム技術顧問 / 情報処理推進機構(IPA)非常勤研究員
- 北河 拓士 氏 ... NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室
- 根岸 征史 氏 ... 株式会社インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア
- 辻 伸弘 氏 ... ソフトバンク・テクノロジー株式会社 シニアセキュリティリサーチャー
- piyokango 氏 ... セキュリティインコ
審査基準
- 事故発覚から第一報までの期間、続報の頻度
- 発表内容 (原因・事象、被害範囲、対応内容)
- 自主的にプレスリリースを出したか
審査対象期間
2016年1月~2016年12月
パイプドHD株式会社
![]()
【被害概要】
【被害概要】
アパレル特化型ECプラットフォーム「スパイラルEC」により構築されたサイトに対して、外部からの不正アクセスが発生。個人情報がダウンロードされる。
【受賞理由】
第1報から第4報まで非常に詳細な報告書が出ていること。さらに、そのタイミングで社長自身が出演した20分にも及ぶ報告動画が掲載され、全社的に取り組む姿勢を見せている。
とにかく詳細なうえ、発表の頻度、利用された脆弱性、利用後の内容、上層部の対応、どれを見ても文句なしと受賞となった。
また、個人情報が流出したサービスだけでなく、同社が提供する他のプラットフォームへの影響について言及した点も高く評価された。
優秀賞
2社様を選出させていただきましたが、今回は残念ながら辞退でございました。
特別賞
![]()
株式会社スクウェア・エニックス
![]()
【被害概要】
2015年、ドラゴンクエストXにおいて、一部の武器の製造確率を高めるチート行為が発生する。その後、ユーザーコミュニティ内で本当の情報と嘘の情報が入り混じる事態に陥る。
【受賞理由】
一連のインシデントについての情報公開を、公式サイトのみならず、DQXTV(ニコニコ生放送の公式番組)においても実施。担当者が出演し、ゲーム内世界の経済への影響が軽微であることをグラフなどを用いてわかりやすく解説した。
チート行為を行った者への対処や、ゲーム内世界における影響について詳しく情報公開するのは珍しく、オンラインゲームの運営に関する情報公開の在り方を示す好例となっている。
【受賞インタビュー】
ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか
![ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか]()
2月21日に開催された「情報セキュリティ事故対応アワード」にて、オンラインゲーム『ドラゴンクエストX』を運営するスクウェア・エニックスが特別賞として表彰された。ドラゴンクエストXで何が起きたのか。そしてスクウェア・エニックスはその事態にどう対処したのか...続きを読む
特別賞
![]()
富山大学
![]()
【被害概要】
水素同位体科学研究センターの非常勤職員のPCが標的型メールによりウイルスに感染。当該PC内のデータが窃取される。PC内には1492名分の個人情報と研究データが保存されていたが、研究データに関しては公知のもの、発表前提のもののみで、機密情報には当たらなかった。
【受賞理由】
報告書では、攻撃手法やC2(Command and Control)サーバのドメインなどを通信発生時期とともに公開。セキュリティ従事者が自社システムで活かせる、価値の高い情報を共有した点が高く評価された。
報道賞
![]()
ITpro
![]()
【受賞記事】
『News & Trend JTBの事故対応手順が明らかに、非公開の報告書を読み解く』
【受賞理由】
事故から1カ月が経過し、各メディアの報道熱が下がっていた状況だったにも関わらず、被害企業が記者クラブ向けに発表した内容を詳細に分析したレポートを公開。事故発生当初は明らかになっていなかった事実に加え、他団体の報告書から推測される事後の影響なども記載しており、セキュリティ従事者が今後の対応を検討するうえで参考にできる記事となった。
授賞式レポート
最優秀賞は全員一致で決定! 第2回情報セキュリティ事故対応アワード開催レポート
IT Search+は2月21日、「第2回 情報セキュリティ事故対応アワード」を開催した。同アワードは、セキュリティ事故が起きてしまった後、説明責任・情報開示の観点から見て、優れた対応を行った団体・企業を表彰するイベントだ。第2回となる今回は、サイバーセキュリティに力を入れる経済産業省の後援を受けるとともに、報道賞も新設。第1回からさらにパワーアップした内容で開催された...続きを読む
2社様を選出させていただきましたが、今回は残念ながら辞退でございました。
株式会社スクウェア・エニックス
![]()
【被害概要】
【被害概要】
2015年、ドラゴンクエストXにおいて、一部の武器の製造確率を高めるチート行為が発生する。その後、ユーザーコミュニティ内で本当の情報と嘘の情報が入り混じる事態に陥る。
【受賞理由】
一連のインシデントについての情報公開を、公式サイトのみならず、DQXTV(ニコニコ生放送の公式番組)においても実施。担当者が出演し、ゲーム内世界の経済への影響が軽微であることをグラフなどを用いてわかりやすく解説した。
チート行為を行った者への対処や、ゲーム内世界における影響について詳しく情報公開するのは珍しく、オンラインゲームの運営に関する情報公開の在り方を示す好例となっている。
【受賞インタビュー】
ドラゴンクエストXで起きたセキュリティ・インシデント、そのとき運営はどう動いたか
2月21日に開催された「情報セキュリティ事故対応アワード」にて、オンラインゲーム『ドラゴンクエストX』を運営するスクウェア・エニックスが特別賞として表彰された。ドラゴンクエストXで何が起きたのか。そしてスクウェア・エニックスはその事態にどう対処したのか...続きを読む
特別賞
![]()
富山大学
![]()
【被害概要】
水素同位体科学研究センターの非常勤職員のPCが標的型メールによりウイルスに感染。当該PC内のデータが窃取される。PC内には1492名分の個人情報と研究データが保存されていたが、研究データに関しては公知のもの、発表前提のもののみで、機密情報には当たらなかった。
【受賞理由】
報告書では、攻撃手法やC2(Command and Control)サーバのドメインなどを通信発生時期とともに公開。セキュリティ従事者が自社システムで活かせる、価値の高い情報を共有した点が高く評価された。
報道賞
![]()
ITpro
![]()
【受賞記事】
『News & Trend JTBの事故対応手順が明らかに、非公開の報告書を読み解く』
【受賞理由】
事故から1カ月が経過し、各メディアの報道熱が下がっていた状況だったにも関わらず、被害企業が記者クラブ向けに発表した内容を詳細に分析したレポートを公開。事故発生当初は明らかになっていなかった事実に加え、他団体の報告書から推測される事後の影響なども記載しており、セキュリティ従事者が今後の対応を検討するうえで参考にできる記事となった。
授賞式レポート
最優秀賞は全員一致で決定! 第2回情報セキュリティ事故対応アワード開催レポート
IT Search+は2月21日、「第2回 情報セキュリティ事故対応アワード」を開催した。同アワードは、セキュリティ事故が起きてしまった後、説明責任・情報開示の観点から見て、優れた対応を行った団体・企業を表彰するイベントだ。第2回となる今回は、サイバーセキュリティに力を入れる経済産業省の後援を受けるとともに、報道賞も新設。第1回からさらにパワーアップした内容で開催された...続きを読む
富山大学
![]()
【被害概要】
【被害概要】
水素同位体科学研究センターの非常勤職員のPCが標的型メールによりウイルスに感染。当該PC内のデータが窃取される。PC内には1492名分の個人情報と研究データが保存されていたが、研究データに関しては公知のもの、発表前提のもののみで、機密情報には当たらなかった。
【受賞理由】
報告書では、攻撃手法やC2(Command and Control)サーバのドメインなどを通信発生時期とともに公開。セキュリティ従事者が自社システムで活かせる、価値の高い情報を共有した点が高く評価された。
ITpro
![]()
【受賞記事】
【受賞記事】
『News & Trend JTBの事故対応手順が明らかに、非公開の報告書を読み解く』
【受賞理由】
事故から1カ月が経過し、各メディアの報道熱が下がっていた状況だったにも関わらず、被害企業が記者クラブ向けに発表した内容を詳細に分析したレポートを公開。事故発生当初は明らかになっていなかった事実に加え、他団体の報告書から推測される事後の影響なども記載しており、セキュリティ従事者が今後の対応を検討するうえで参考にできる記事となった。
最優秀賞は全員一致で決定! 第2回情報セキュリティ事故対応アワード開催レポート
IT Search+は2月21日、「第2回 情報セキュリティ事故対応アワード」を開催した。同アワードは、セキュリティ事故が起きてしまった後、説明責任・情報開示の観点から見て、優れた対応を行った団体・企業を表彰するイベントだ。第2回となる今回は、サイバーセキュリティに力を入れる経済産業省の後援を受けるとともに、報道賞も新設。第1回からさらにパワーアップした内容で開催された...続きを読む
PostgreSQLに任意のコードが実行可能な脆弱性、早急にアップデートを
