「迅速で誠実な対応」と「詳細な情報公開」が高評価
続いて、ぴあ およびB.LEAGUEの2社が連名で優秀賞として表彰された。
対象となった事故は、日本のプロバスケットボールリーグ「B.LEAGUE」のチケットサイト、およびファンクラブ受付サイトへの「Apache Struts 2」の脆弱性を突いた不正アクセスにより、クレジットカード情報を含む個人情報が流出したというもの。両社は問題発覚後、対応状況を都度公開し、サービスの停止・再開、問い合わせ電話窓口の開設、パスワード再登録などのオペレーションを迅速に実施した。
事象発生の経緯や被害内容、情報漏洩理由などの報告がいずれも詳細であり、各企業のセキュリティ担当者が参考できる情報量であった点も評価のポイントとなった。
両社は残念ながらアワードには欠席であったが、本誌では今回の事故対応について担当者へのインタビューを実施しているので、そちらを合わせてご覧いただきたい。
辻氏は「めずらしかったと思うのが、Apache Struts 2の脆弱性番号をメディア取材において回答していた点です。この時期に同じ脆弱性が原因になったと見られる事故がいくつかありましたが、脆弱性番号まで公開していたところはほとんどありませんでした。出せる情報はとにかく公開していくという方針は評価できます」と見解を示した。
最優秀賞が「該当なし」だった理由とは?
表彰式の後には、5名の審査員によるパネルディスカッションが行われた。
まず、最優秀賞が「該当なし」という結果について、根岸氏は「良かったところが全くなかったという意味ではありません。前回と前々回は、審査員のなかで表彰したい企業が一致していましたが、今回は意見が割れてしまいました。ポジティブに言えば、意見が割れるほど良い対応をした企業が多かったということです」と説明。さらにpiyokango氏は、「審査ではこれまでで一番長い時間を議論に費やしました。それだけバリエーションに富んだ良い対応が出てきているのではないでしょうか」と付け加えた。
続いて、今回のアワードの結果を振り返り、「事故発覚から第一報までの期間」という評価基準などについて議論が繰り広げられた。特に、今回優秀賞を受賞したぴあ/B.LEAGUEの対応について北河氏は、「サイトが長期間停止しているとハッキングではないかという疑惑が出てきてしまう。変な憶測が広まってしまう可能性もあるので、何らかのアクションはしておいたほうが良かったのでは」と講評した。
これに対して辻氏は、クレジットカード会社からの要請により、調査が終了するまで公表できなかったという事情も踏まえ、「被害範囲が後から増えると印象も悪くなる。また、今回は多くの組織が関係していたので、きちんと原因を特定して対応体制を整えるのに時間がかかった」とコメント。
さらに徳丸氏が「候補のなかには、対応は速かったが受賞に至らなかった企業もあった。必ずしも速ければ良いというわけではない」と続ける。そのほかにも登壇者からはさまざまな意見が上がり、実際の審査の雰囲気が垣間見られる場面もあった。
事故対応アワードは今年で3回目となる。当日の会場は、溢れんばかりの参加者で埋め尽くされており、その注目度の高さがうかがえる。この様子を見て、今後も継続してアワードを開催していきたいという辻氏。「きちんと対応したところが報われるような空気や文化を作っていくためは、我々審査員の力だけでなく、組織の力が必要。万が一自分たちがセキュリティ事故にあった際には、その教訓を少しでも世の中に還元していく世界になってほしい」と締めくくった。
なお、辻氏が作成に関わったという「サイバーセキュリティ経営ガイドライン 付録C」が経済産業省のWebサイトで公開されている。セキュリティ事故のケース別に、事故発生時に組織が整理・調査しておくべき事項をExcelにまとめたものだ。自分の所属する組織が被害にあった際、このシートを埋めることができる体制になっているかどうか、ぜひチェックしてみていただきたい。