情報流出の要因は急ピッチでのシステム構築か?

2017年4月25日、ジャパン・プロフェッショナル・バスケットボールリーグ(以下、B.LEAGUE)と、B.LEAGUEからウェブサイトの運営を受託しているぴあは、B.LEAGUEのチケットサイトおよびファンクラブ受付サイトへの不正アクセスにより、最大約15万5千件(うち、クレジットカード情報約3万2千件を含む)の個人情報が流出した可能性があると発表した。その後5月8日までに、クレジットカードの不正使用は379件で金額は約880万円にのぼるとしている。

この事件から1年近くを経た現在では、原因の究明と対策を終え、クレジットカード決済も再開している。しかし再発防止に取り組むうえでは課題や困難もあったようだ。B.LEAGUEの事務局長を務める葦原 一正氏は次のように振り返る。

公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ(B.LEAGUE) 常務理事・事務局長 葦原 一正 氏

「まずはご迷惑をおかしたすべての方にお詫び申し上げたい。言い訳するつもりはないですが、今、振り返るとこのような事態を招いた最大の要因は、かなりの急ピッチでシステムをつくらねばならなかったことにあるのかもしれません」

B.LEAGUEでは専用のチケットサイトを運用しており、ユーザーはスマートフォンなどから自身のIDでチケットを購入して、当日スタジアムにそのまま入場することができるようになっている。スマートフォンでチケット購入から観戦まで完結できるこの仕組みは、国内のほかのスポーツ競技と比べるとかなり先進的なものだといえる。

B.LEAGUEでは、こうしたシステムを2016年夏の試合開幕に合わせてローンチすべく、約1年という短期間で構築していた。その際、ユーザーのIDやパスワードも、旧リーグのものは破棄して新たに統合。最終的には、ユーザーだけでなく競技者も含めたデータベースを完成させる予定だ。

システムのプラットフォームとその運営の委託先としてぴあを選定した理由について葦原氏は、「提案内容が素晴らしく、また、スポーツ界での長年の実績があり、信頼性の高さを評価した」と話す。

どのタイミングで発表するかが最大の課題に

ここで今回の経緯を時系列で簡単に振り返ってみよう。まず3月13日にB.LEAGUEチケットのサイト内で不振な挙動をするプロセスの起動が発覚。同日中にすべてのサービスを停止したものの、間もなく再開した。

「正直、最初の報告があった時には何が起きたのかわかっておらず、サービスを一時停止した際もよくあるトラブルのひとつかなという程度の認識でした」と葦原氏はいう。その後、SNSなどに不正請求に関する投稿などが散見されはしたが、一旦は沈静化を見せた。

事態が急転したのは3月24日のことだ。ぴあから、情報流出の可能性がありカード会社から停止要請がきたという報告があったのだ。急遽、クレジットカード決済の停止の判断が下された後、B.LEAGUEとぴあの間で、「どの時点で何を発表するか」を見極めるための深刻なやり取りが繰り返されることになった。この過程について同氏は、「一連の対応のなかでも最も大変だった。というのも、基本的方針は速やかに情報開示であるものの、目の前の事象は、"個人情報流出確定"ではなく、"個人情報流出の可能性あり"であり、そして何より原因が全く不明だったのが辛かった」とコメントしている。

4月11日には、ぴあより、同社の委託先企業が管理するサーバーから個人情報が漏れた可能性が高いとの報告があり、情報流出がほぼ確定する。その後、両者間で発表のタイミングについての協議を続け、とにかく迅速に顧客への情報提供を行うべく、クレジットカード会社とも協議の上、4月25日の正式発表へと至ったのであった。

事件から得られた教訓のもと、新たなセキュリティ対策を実施

今回の一連の出来事から得られた教訓について、葦原氏は次のように語る。

「まず、セキュリティ侵害事件というのは、誰にでも起きる可能性があるのだと知っておくことが大切だと学びました。それだけで、初期対応が大きく変わってくるはずです。次に、迅速に対応するというのが基本的に正しいのは確かなのですが、なんでもかんでもすぐに発表するというのは決して正解ではないと思います。それはかえってお客様に対し混乱を招くおそれも状況によって起こりえますし、発表のタイミングを決める際にはより理性的になる必要があるのではないでしょうか。そしてもうひとつが、日頃から経営層とコンセンサスをとっておくことです」

こうした教訓のもと、B.LEAGUEでは今、セキュリティ専任の人材を受け入れるとともに、新たなセキュリティ対策に取り組んでいる。

「システム面での整備と24時間365日の監視体制の構築とあわせ、個人情報の保護方針や保護規定、安全管理規程などセキュリティに関わる各種マニュアルを来期に完成すべく、プロジェクト化して毎週打ち合わせを重ねています。また各チーム向けのセキュリティ・ガイドラインもつくって研修を実施したいと考えています。もう二度とあのような経験はしたくないですから」と葦原氏は強調した。

サイバー攻撃の被害とその対策の経験をもとに、現在B.LEAGUEがどのようなセキュリティ対策を行っているかの詳細や、事後対応時にとるべき具体的な方法、さらには事前に備えておくべきセキュリティ対策についてなどは、3月16日に開催される「インシデント経験企業に学ぶ!事故対応の勘所セミナー」の葦原氏の講演のなかで明らかになる予定だ。記事で触れられなかった、発表のタイミングを巡って両者間でどのようなやり取りがあったのかについても、細部まで明かされるという。講演で語られる同社の経験とそこから得られた知見は、自社のセキュリティ対策に必ず活かすことができるだろう。貴重な経験談を聞けるまたとない機会なので、企業のセキュリティ担当者の方にはぜひ聴講いただきたい。

[PR]提供:NTTテクノクロス、デジタル・インフォメーション・テクノロジー、 FFRI