5名の審査員が注目した2020年のインシデント
続いてパネルディスカッションは、各審査員が注目したインシデントの話題に移った。
徳丸氏が挙げたのは、ふくい産業支援センターが運営する企業支援サイト「ふくいナビ」の障害だ。同事案では、クラウドサーバの運用を受託していた事業者の手続きミスにより、バックアップを含むクラウド上の全データが消失してしまった。後の調査により、オンプレミスで利用していた旧サーバにバックアップデータが残っていたことが判明したため復旧に至ったが、インシデント発生当初はその事実を同センターが把握しておらず、「復旧が不可能な状態」と説明されていた。
「事業継続を考える上で貴重なインシデントでした。契約内容は盲点になりやすいので、クラウドサービスの選定時には気をつけるべきです。通常だと、クラウドサービスは契約解除後も一定の猶予期間を設ける場合が多くなっています。しかし、本件では情報漏えいのリスクを考慮してか、契約期間終了後にデータを保持せず削除する規約になっていました」(徳丸氏)
北河氏は、総務省の「行政不服審査裁決・答申検索データベース」上に公開されたPDFファイルに個人情報が含まれていた新潟県庁の事案を挙げた。同庁は事案発覚後、新潟県のホームページで公開および外部に提供したPDF/Office文書約9万件について全庁調査し、その結果を公表した。「9万件に対して調査したことは素晴らしい」と北河氏は評価する。
また、託送料金計算システムの障害により、一部利用者への電気料金請求書送付遅延や小売電気事業者への誤請求が発生していたという九州電力のインシデントを挙げたのは根岸氏である。最終報まで9回にわたって調査結果が詳細に報告されたことに対し「事故原因は複雑だが、事故対応としても見習えるところは多い」とコメントした。
辻氏は、小樽観光協会によるEmotetメールへの注意喚起を挙げた。同協会は、職員の名前や観光協会のアドレスを悪用したなりすましメールが多発したことを受けて、不審メールの見分け方など詳細な情報をWebサイトに掲載した。これに対し辻氏は「JPCERT/CCのリンク掲載やコピペで終わりではなく、自分たちで調べて読みやすくわかりやすいかたちで伝えている」と評価した。
piyokango氏は、三菱重工グループ 名古屋地区において、従業員端末が在宅時に個人SNS経由でマルウェア感染した事案を挙げた。
「コロナ禍の象徴的なインシデントの1つです。比較的うまく取り回しされていたと思います。2011年に発生した情報流出事故のプレスリリースに比べて、より細かくわかりやすくなりました。この10年で改善されたという点に興味関心を持ちました」(piyokango氏)
関係者の意識を変え、”アワード受賞辞退ゼロ”を目指す
今年で第6回目を迎えたセキュリティアワード。回数を重ねてきたものの、いまだに受賞を辞退する企業が目立つのは残念だ。辻氏は、「『被害者がいるのに何を言ってるんだ』という雰囲気をつくらないよう、良い事故対応があればハッシュタグを付けてSNSに投稿するなど、見ている側も変わっていく必要がある。時間は掛かると思うが、”受賞辞退ゼロ”を目指していきたい。長い目で見て付き合っていただければ」と今後の展望を語った。
情報セキュリティ事故に遭った企業を責めるのではなく、その後の対応が良かった点にフォーカスすることは、企業活動はもとより、社会にとっても大きなメリットがある。ぜひ、セキュリティ事故に遭遇した際の対応について、改めて見直す機会としてほしい。