どんなに対策をしていても、事故を完全に防ぎきることは難しい。大事なのはその後の対応である。2016年からスタートし、今年で8回目を迎えた「情報セキュリティ事故対応アワード」では、不幸にも事故に遭ってしまったものの、今後の模範となるような説明や情報開示を行った企業を毎年表彰している。本稿では、6月28日にライブ配信形式で開催された表彰式および審査員によるパネルディスカッションの様子の一部をレポートする。

主催:情報セキュリティ事故対応アワード実行委員会

後援:経済産業省

ロゴデザイン:カミジョウヒロ

審査員/パネルディスカッション登壇者

  • SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘氏
  • EGセキュアソリューションズ株式会社 取締役 CTO/独立行政法人情報処理推進機構(IPA)非常勤研究員/技術士(情報工学部門) 徳丸 浩氏
  • NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 北河 拓士氏
  • 株式会社インターネットイニシアティブ セキュリティ情報統括室長 根岸 征史氏
  • piyokango氏
  • (左から)EGセキュアソリューションズ株式会社 取締役 CTO/独立行政法人情報処理推進機構(IPA)非常勤研究員/技術士(情報工学部門) 徳丸 浩氏、SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘氏、NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 北河 拓士氏、株式会社インターネットイニシアティブ セキュリティ情報統括室長 根岸 征史氏

第8回 情報セキュリティ事故対応アワード 受賞企業

事故対応アワードは、以下の3点が主な評価軸となる。

  • 事故発覚から第一報までの期間、続報の頻度
  • 発表内容(原因・事象、被害範囲、対応内容)
  • 自主的に情報公開したか

第8回となる今回の評価対象期間は、2022年1月〜12月。24件がノミネートされ、この中から優秀賞3件、特別賞2件、審査員長特別賞1件が選出された。

特別賞

  キンコーズ・ジャパン

特別賞に選ばれたのは、キンコーズ・ジャパン。同社が管理運用するサーバ内の顧客印刷用データが外部からの不正アクセスを受け、一部の印刷用データが消失した事故が対象となった。

不正アクセスに関しては事象のみを発表して終える企業が多い中で、本件では調査内容を適宜アップデートして情報公開し、真摯に対応した点が評価された。また、上記の最終報では、図版を用いて不正アクセスの経路が分かりやすく説明しており、他の事故対応において参考になるものであった。同社 広報担当者からは受賞に際して「お客さまにどのようにしたら分かりやすく説明責任を果たせるかという視点で検討・対応をしていた」というコメントが寄せられている。

piyokango氏は同社の一連の対応について「事故の概要を1つの絵に表現することは、簡単なようで難しい。また、不正アクセスの被害に遭う企業は多いが、誰に対して情報公開したのか腑に落ちないケースもある。キンコーズ・ジャパンは3回ほどニュースリリースを公表し、それぞれで調査が進展したポイントを説明していた。不正アクセス被害の公表がこなれてしまっている現状に対して学びが多く、参考になる事例だった」と講評した。

もう1件の特別賞、および3件の優秀賞は残念ながら辞退となった。

審査員長特別賞

  トヨタ自動車&小島プレス工業

審査員長特別賞の対象となったのは、トヨタ自動車の主要取引先である小島プレス工業のランサムウェア被害。トヨタ自動車が小島プレス工業による事故対応を支援した。サプライチェーン攻撃の被害に遭った下請け企業を責めることなく復旧支援する姿勢は大手製造業の模範となるものであった。

また、トヨタ自動車は、被害発生から1年後にオウンドメディア「トヨタイムズ」にて当時の対応を紹介する動画を公開した。システム化されていた作業を紙で代替するなど緊迫感ある内容は、セキュリティ関係者にとって刺激のあるものだった。審査員長である辻氏は、選出理由について「評価軸に当てはまりづらかったので特別賞とした。動画は、物流や技術管理部門などがそれぞれどのような対応をしたのか、何が起こっていたのか、現場の方の生々しい声が記録されている。ニュースリリースには含められないような情報を発信するという、良いメディアの使い方をされている」と説明した。また、根岸氏は「事故の振り返りまで行う企業はなかなかない。自分たちで結果を振り返って見直すことは、事故を教訓として活かしていけるので良いこと。公表することで見ている側もためになる」と評価した。

今回の受賞に際して、トヨタイムズのニュースキャスター 富川悠太氏は「小島プレスのサイバー攻撃はなぜ起きたのか、どのようにして乗り切ったのか、トヨタの全工場停止はなぜ1日で済んだのか、報道番組のキャスターを務めていたときから取材したいと思っていた」とコメントしている。

対象期間はランサムウェア被害が多発。報告のテンプレ化が進む

パネルディスカッションでは、まず今回の情報セキュリティ事故対応アワードについて振り返りが行われた。根岸氏は「審査員は毎回それぞれ良かったと思う対応を持ち寄って議論するが、今回は票が割れた。比較的良い対応が多かったという印象」と総括した。

今回対象となった期間は、ランサムウェアの事故対応事例が多かったのも特徴の1つだ。piyokango氏は、「良くも悪くも不正アクセス被害を受けたという情報は出てくるものの、中身がなく、情報の受け手がどうしていいのか分からないケースが多い。なぜランサムウェアに感染したのか、どのようなランサムウェアなのか、具体的な情報が出てくる方がレアケース」だと指摘する。

これを受けて北川氏は「公表される報告書の内容がテンプレ化してきている。これには良い面もあると思うが、独自性がなくなってしまっている」と考察する。さらに徳丸氏は、「クレジットカード情報漏洩事故の報告もテンプレ化している」と問題提起する。その上で「ある時期からFAQが記載されるようになり始めたが、これもテンプレ。『脆弱性対策はしていたが、カバーできていない脆弱性だった』などと書いてあるものであればまだ良いが、具体性がなく分かりづらい」と続けた。

一方で辻氏は、テンプレ化の良い側面について「テンプレートの各項目をきちんと埋めていけば適切な情報を開示できるというものもある」と述べる。ただし、「それ以上のことは言わなくても良いと思ってしまうことにもつながる」と、デメリットについても触れた。

事故対応の情報を共有することが当たり前の世の中になるように

パネルディスカッションの後半では、各審査員がそれぞれ気になる情報セキュリティ関連のトピックを挙げ、バックアップの重要性、報告書に書くべき内容やそこから学べることなどについて議論された。

議論では2023年3月に経済産業省などが公表した「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の話題が取り上げられた。同ガイダンスの検討会に参加していたという辻氏は、「想定読者はセキュリティ部門、法務部門、リスク管理部門など。ボリュームが多いが、FAQ形式なので興味のあるところから読んでもらうのも良い。目次だけでも見てみると、興味が湧くところはあると思う」と紹介していた。

このようなガイダンスの公表は、国レベルで問題意識が高まってきていることの現れであり、良い流れが出てきているとも言える。一方で、事故を公表することのメリットがない、不安しかないと思う企業が多いのも事実である。辻氏も「一時的なメリットを説明することは難しく、今のところ解はない」とする。しかし、「理想論かもしれないが、それでも事故対応の情報が共有されていくことが当たり前の世の中になれば、被害を受ける可能性があった人々や企業から回り回って恩恵が受けられるようになるはず」だと期待を込めた。

そのためには、勇気を持って情報共有した企業が責められない文化をつくっていくことが重要となる。その一端を担うのが本アワードであるが、辻氏は「良い対応があれば、SNSなどでコメントをしてみてほしい」と、個人レベルでも対応の良かった企業を評価する姿勢を持つことの重要性を呼びかけた。