どんなに重厚な対策を施しても完全に防ぐことは難しいと言われるサイバー攻撃。昨今のセキュリティ担当者は、攻撃を防ぐ方法だけでなく、万が一、攻撃を受けた場合の事後対応(インシデント・レスポンス)についても日頃から検討しておかなければならない状況に置かれています。

そうした背景を踏まえ、IT Search+では、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業・団体を表彰する『セキュリティ事故対応アワード』を開催いたしました。

国内セキュリティ業界で影響力のある有識者5人を審査員に迎え、100を超えるインシデントを調査。主に説明責任/情報開示に焦点を当て、対応の素晴らしかった企業3社を選定いたしました。

いずれもユーザーファーストで行動した素晴らしい企業ばかり。ぜひ模範事例として参考にしてください。

(主催:情報セキュリティ事故対応アワード実行委員会 / 後援:経済産業省
ロゴデザイン:カミジョウヒロ)

審査概要

審査委員

  • 徳丸 浩 氏 … HASHコンサルティング株式会社 代表取締役 / 京セラコミュニケーションシステム技術顧問 / 情報処理推進機構(IPA)非常勤研究員
  • 北河 拓士 氏 … NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室
  • 根岸 征史 氏 … 株式会社インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア
  • 辻 伸弘 氏 … ソフトバンク・テクノロジー株式会社 シニアセキュリティリサーチャー
  • piyokango 氏 … セキュリティインコ

審査基準

  • 事故発覚から第一報までの期間、続報の頻度
  • 発表内容 (原因・事象、被害範囲、対応内容)
  • 自主的にプレスリリースを出したか

審査対象期間

2013年1月~2015年12月
※ リスト型攻撃が広がり始めた2013年を第1回の評価期間に含めた

最優秀賞

株式会社イーブックイニシアティブジャパン


【被害概要】

2013年4月2日から4月5日にかけて、779アカウントがアカウントリスト型攻撃を受けた。

第三者機関の調査の結果、最終的には、サーバへの不正侵入および情報漏洩の懸念を示す形跡はなかったという結論に至ったが、調査期間中も、被害に遭ったユーザーがいるかもしれないという想定で、被害が広がらないための手を尽くし、逐次情報を公開していった。

【受賞理由】

アカウントリスト型攻撃の前例がほとんどない中、手探りで見当をつけながら攻撃手法を素早く特定。その内容をほぼリアルタイムに公開した。

レポートでは、ログインの試行回数などの詳細データを明らかにしたうえで、対応内容や防御策まで細かに説明している。

漏洩の可能性があると判断した段階から(結果的に漏洩なし)自発的にレポートを発表している点は、ユーザーを第一に考えて高い意識で取り組んでいることの表れ。

【受賞インタビュー】
未知の攻撃を受け、すぐに情報公開を決断したイーブックイニシアティブジャパン - 根底にあるのは、ユーザーへの思い
未知の攻撃を受け、すぐに情報公開を決断したイーブックイニシアティブジャパン - 根底にあるのは、ユーザーへの思い

国内有数の電子書店「eBookJapan」を運営するイーブックイニシアティブジャパンは、2013年4月2日から4月5日にかけてアカウントリスト型攻撃を受けた。同じ攻撃の前例がほとんどないなか、攻撃手法と原因を迅速に突き止めるとともに、詳細な情報をほぼリアルタイムで公開…続きを読む