【第9回】情報セキュリティ事故対応アワード

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント『情報セキュリティ事故対応アワード』。第9回となる今年もオンラインにて開催いたしました。

今回は数百件のセキュリティ事故を対象に審査員が厳選し、優れた対応32件をノミネート。そのなかから、特に素晴らしかった組織を表彰いたしました。

主催：情報セキュリティ事故対応アワード実行委員会

後援：経済産業省

ロゴデザイン：カミジョウヒロ

審査概要

審査委員

徳丸浩氏：EGセキュアソリューションズ株式会社取締役 CTO / 独立行政法人情報処理推進機構（IPA）非常勤研究員 / 技術士（情報工学部門）
北河拓士氏：NTTセキュリティ・ジャパン株式会社コンサルティングサービス部
根岸征史氏：株式会社インターネットイニシアティブセキュリティ情報統括室長
辻伸弘氏：SBテクノロジー株式会社プリンシパルセキュリティリサーチャー
piyokango 氏：セキュリティインコ

審査基準

事故発覚から第一報までの期間、続報の頻度
発表内容（原因・事象、被害範囲、対応内容）
自主的に情報公開したか

審査対象期間

2023年1月～2023年12月

優秀賞

OLTA株式会社

【インシデント概要】

Cross Request State Pollutionの脆弱性を突いた情報漏洩

【受賞理由】

発覚から2日でかなり詳細な調査結果を公表。極めて迅速に対応を進めている。また、スクリーンショットを掲載してどこに他ユーザーの情報が表示されるかを明示したうえ、事象、原因、対策も詳しく説明し、利用者・関係者に親切な情報公開となった。Cross Request State Pollutionという珍しい脆弱性の事例として、セキュリティ関係者にとっても大いに参考になる発表だった。

【受賞コメント】

この度は、INVOYのユーザーをはじめ関係者の皆様に多大なご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。事象を確認してすぐに全社で対応を協議し、お客様からの信頼を速やかに回復するために、復旧までのサービスの停止と詳細情報の随時公開を決定しました。特に、発覚当初は影響範囲の正確な把握が困難であったため、早急にサービスを停止し、厳密性よりも速報性を優先して初回報告で暫定的な最大影響範囲を公開しました。お客様への説明責任を果たすために技術的な詳細も公開しましたが、これが結果として業界全体のセキュリティ向上に少しでも繋がるのであれば幸いです。弊社は今後も、誠実かつ迅速な対応を心掛けてまいります。

優秀賞

クラスメソッド株式会社

【インシデント概要】

オペレーションミスに起因する顧客AWSアカウントの操作不能

【受賞理由】

障害発生の翌日に発生経緯から再発防止策までを「事後検証（ポストモーテム）」というかたちで非常に詳しく公表。経緯では、インシデント発生原因となった作業の選択肢から列挙し、選択した理由と併せて説明することで、当時の担当者の状況を部外者にも伝わるように工夫。図版や画面キャプチャも盛り込み、わかりやすく紹介している。また、ポストモーテムを社内や団体内で実施する企業はあるが、一般に公開するケースは珍しく、透明性を強く重視する姿勢が伝わる発表だった。

優秀賞

2件、残念ながら辞退がございました。

特別賞

志布志市役所

【インシデント概要】

過去に開設したふるさと納税特設サイトのXSS脆弱性を突いた情報漏洩

【受賞理由】

クレジットカードの情報漏洩に関するインシデントでは、調査中を理由に詳細に触れない書式で公表されるケースが多い中、志布志市のお知らせでは、外部サービスの脆弱性に起因するXSSが原因であることなどを詳しく明かしていた。利用者への説明責任を果たすと同時に、外部のセキュリティ担当者にとっても参考になる公表となった。

【受賞コメント】

この度は情報セキュリティ事故対応アワードに選出いただきまして、誠にありがとうございます。ふるさと納税特設サイトにおいて情報漏えい事案が発生した際、本市では、「被害を受けた方の立場に立って行動すること、また、正しい情報をそろえてなるべく早く正しい情報をお伝えすること」を第一に考え、お一人お一人に対し、真摯に対応することを心掛けました。そのことにより、結果的に被害を最小限に抑えることができ、利用者様の信頼回復につながったと感じています。今後も志布志市のふるさと納税にご寄附をいただく皆様に安心してサイトをご利用いただき、本市の感謝や真心を安全・安心な特産品に込めて届けさせていただきます。改めまして、この度はありがとうございました。

ご担当者のインタビューはこちら