選考を振り返る - 審査員らによるパネルディスカッション

続いて、審査員5名によるパネルディスカッションが行われた。

「昨年よりも今年のほうが審査に難航した」と語るのは辻氏だ。ただし、その理由は「良い対応をする企業が増えてきた」というポジティブなものであり、セキュリティ事故対応に必要とされる「自主的にすばやく詳細な情報を公開」という要素が企業に根付いてきたことを感じさせられる。

また、「伊織のリリースは本当によくできていた」と語るのは徳丸氏だ。ちょうど、この種の事件が起きるのではと危惧していたところに詳細な内容がリリースされたので、インパクトがあったのだという。さらに北河氏は「先日新聞で、あるセキュリティ会社が『(伊織のように決済処理の改ざんがされた場合)利用者にできることはほとんどない』とコメントしていたが、それはあまり正しくない」と指摘する。

「伊織の件では、URLをきちんと確認していれば気づけないわけではなかったし、支払い方法としてコンビニ払いやプリペイドのクレジットカードを利用するといった対策もある。何も自衛手段がないわけではない」(北河氏)

NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏

これに徳丸氏も、改ざんされた決算処理は「これだけ雑でもなかなか気づけないのか」とショックを受けるほど画面遷移が雑だったとコメント。今後、より精巧なつくりのものが出てくれば、一層気づきにくくなる可能性が高いため利用者側も注意が必要だ。

今回受賞した2社以外にも優れたインシデント対応は多々あったとのことで、アワード参加登録者による事前アンケートでは九州商船や産業技術総合研究所、前橋市教育委員会、プリンスホテルなどの対応にも支持が集まった。

九州商船や産総研は、非常に詳しい報告書が公開された点が注目を集めた。

「報告書のボリューム自体もすごいが、そこで『すごい』で終わらずに、中身を読み込むことが大切」だとpiyokango氏はコメントする。

「数十ページある報告書は読むのが大変なので、さらっと読んでしまいがちかもしれないが、しっかり読んでいくと”気づき”がある」(piyokango氏)

いずれもインシデントに対して詳細な情報をすばやく公開した企業/組織が評価されたかたちだが、根岸氏は「単に報告書にボリュームがあればいいというわけではない」と釘を刺す。

「大事なのは”誰に対して何を出すのか”ということ。セキュリティ担当者なら技術的な側面を見るでしょうし、経営層ならどういうタイミングでどんな情報を出すべきかや、今後どこまで対策をすればよいのかといったことを知りたいはず。人によって見るべきものは違うので、誰に見せるものなのかを意識することも大切」(根岸氏)

インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏

これに辻氏も、「入社してすぐの頃、分厚い報告書を持っていって事細かに1時間半ほど説明したところ、担当者から一言、『で、危ないの? 危なくないの?』と言われた。ただ詳しいだけでは役に立たないこともある。特に経営層に見せるものはそういうケースが多い」と同意を示した。