Designed by カミジョウヒロ

いかに対策していても、情報セキュリティ事故を完全に防ぐことは難しい。今、企業に求められるのは、事故発生後の迅速な対応である。対応が素晴らしければ、むしろ事故以前よりも企業評価を高め、ユーザーの信頼を勝ち得ることにもつながるだろう。

3月10日、不幸にもセキュリティ事故に遭ってしまった企業の優れた対応を評価する「情報セキュリティ事故対応アワード」が今年も開催された。本稿では、アワードで行われた受賞企業の表彰と審査員らによるパネルディスカッションの模様をお届けする。

2019年、優れた対応をした企業は? - ついに「殿堂入り」も登場

当日、登壇したのはEGセキュアソリューションズ 代表の徳丸浩氏、NTTコム ソリューションズの北河拓士氏、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏。いずれもセキュリティのスペシャリストであり、本アワードの審査員を務めている。

(左から)根岸氏、辻氏、北河氏、徳丸氏/piyokango氏は顔出し不可のため、以前撮影した写真を使用

審査の評価軸は3点だ。まず、事故が発覚してから第一報までのスピード、そして続報の頻度。次に発表の内容がより詳しいものだったか、原因や被害範囲、対応内容などの情報が含まれていたか。最後に、そのプレスリリースが自主的に出されたものだったかどうかである。

今回の評価対象期間は2019年1月から12月まで。そのなかで起きた数百件のセキュリティ事故を検討し、特に優れた事故対応をノミネートとして16件に絞り込んだ。

そのなかからさらに優秀賞や最優秀賞が選ばれるわけだが、今回は特別に「殿堂入り」というタイトルが設けられた。選ばれたのは通販事業を行うディノス・セシールである。殿堂入りとしたのは、ディノス・セシールが毎年、優れた事故対応を行っているからだ。

誤解ないようにしたいのは、同社のサイトのセキュリティが脆弱というわけではないこと。通販サイトという特性上、被害の原因はユーザー側にあることも多い。例えば、パスワードの使い回しが原因となり、リスト型攻撃を受けて不正アクセスされるケースは企業側では防ぎようがないものだ。だが、ディノス・セシールはそうした不正アクセス案件についても全て、対応を含めて公表してきた。数が少なくても自ら情報を発信する姿勢が高く評価され、今回殿堂入りというかたちで表彰されたのだ。

次に優秀賞だが、選出されたのはスマートフォンゲーム「偽りのアリス」の開発/運営を行うビジュアルアーツである。

昨年、同ゲームにネットワーク障害が発生した際、ユーザーへの情報提供スピードやイラストを活用したわかりやすい説明が高く評価された。

少数精鋭で行われたスピーディーな対応

当日は、「偽りのアリス」の開発者である武内郡氏と山田耕輝氏が出席。実際にどのような対応を行ったのかについて解説した(関連記事『放置系スマホRPG「偽りのアリス」、ユーザー最重視の障害対応 [事故対応アワード受賞レポート]』)。

(左から)ビジュアルアーツ 武内郡氏、山田耕輝氏

障害が発生したのは2019年12月18日のことだった。「偽りのアリス」は本番環境と開発環境が同じネットワーク上にあり、開発環境にアクセスできなくなったことで事態が発覚したという。さらに不運だったのは、公式サイトも同じサーバ上にあったことだ。全てが一斉にダウンしてしまったため、ユーザーへの告知のすべがSNSしかなくなってしまったのである。

そこからの判断は早かった。サーバが落ちていることが判明してから約5分後にはTwitterで状況を報告。ユーザーへの丁寧なケアを行った。

「『偽りのアリス』は運営メンバーが6~7名と少なく、その分意思決定が早いというメリットがあります。このときの対応も上に確認することなく、私たちの判断で即座にTwitterを更新しました」(武内氏)

さらに同社の対応で特徴的だったのは、障害の内容をイラストで説明したこと。Twitterで長文を書いてもわかりにくいし、リンクを張ろうにも公式サイトが落ちている。そこで思いついたのが、説明をイラスト化してTwitterに載せるという方法だったのだ。このイラストが丁寧かつ素人にもわかりやすいものだったことが、ユーザーの信頼回復に大いに役立った。

審査員のpiyokango氏はこの点について「障害発生中にこのイラストを作ったというのは、信じられないほどの対応力の高さ」と絶賛する。

実は「偽りのアリス」の運営チームでは、今回のような事態が起きた際にTwitterをユーザーとの連絡ツールとして使うことが想定されていたという。「何かあったときはとりあえずTwitter(でお知らせする)ということはもともと方針として持っていました」(武内氏)

結果的に「偽りのアリス」は評価を落とすこともなく、むしろユーザーの信頼を勝ち得ることができた。事故対応を適切に行うメリットがよく表れた例と言えるだろう。