news.mynavi.jp/itsearch/artic…
不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰する「情報セキュリティ事故対応アワード」審査員。第6回目となる今回は、2021年2月26日にオンライン開催された。
セキュリティ事故の多くは、外部からの攻撃や悪意ある従業員の手によって発生する。事故に遭った企業が最も責任を持つべきは、その後の対応だ。そこで、同アワードは、事故対応時の説明責任や情報開示に焦点を当て、今後の模範となる説明/情報開示パターンを国内のセキュリティ担当者に対して周知していくことを目指す。セキュリティ分野の有識者が審査員となり、事故対応が優秀な企業として最優秀賞/優秀賞/特別賞を毎年選出している。
審査員は、EGセキュアソリューションズ 代表 徳丸浩氏、NTTコム ソリューションズ マネジメントソリューション本部 セキュリティソリューション部 北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の5名が務める。今回のアワードの調査期間は2020年1月〜12月の1年間で、数百件のセキュリティ事故が対象となった。
イベント当日は、受賞企業の表彰および5名の審査員によるパネルディスカッションが実施された。本稿では、その様子の一部を紹介したい。
クラウドサービス選定時に事故対応の視点を
今回のアワードにノミネートされた事例は19件。「事故発覚から第一報までの期間、続報の頻度」「発表内容(原因/事象、被害範囲、対応内容)」「自主的に情報公開したかどうか」を主な評価軸として審査が行われ、暗号資産取引所を運営するコインチェックが優秀賞を受賞した。そのほかにも優秀賞1件、特別賞3件が選出されていたが、残念ながら辞退となった。
コインチェックは、2020年6月、同社が利用するドメイン名登録サービスの社有アカウントに不正アクセスを受けたことで、登録情報が何者かによって書き換えられてしまうドメイン名ハイジャックに遭った。しかし、早期発見と迅速な対応により、甚大な被害には至らなかった。さらに、インシデント発生後に詳細なレポートを公表したことも評価され、今回、優秀賞として選出された。
根岸氏は、選出理由について「事故対応自体も良かったが、ほかの企業が同じ被害に遭わないようにと、ブログや講演などで積極的に情報共有したことも評価に入れている」と説明。「こうした活動がほかの企業にも広まると良いと思う」とコメントを寄せた。
当日は、事故対応にあたったコインチェック サイバーセキュリティ推進部長 喜屋武慶大氏も登壇。事故当時について次のように振り返った。
「ドメイン名登録サービス運営元の協力も必要になったため、ハンドリングしづらく、影響範囲の調査や復旧の判断が難しかったです。クラウドサービスを利用している企業は増えてきていると思いますが、こうした事故は自社だけで対応するのが困難です。同じような被害に遭う企業が少しでも減らせればと思い、積極的に情報公開することにしました」(喜屋武氏)
これに対し、辻氏が「レポートには時系列の詳細な説明が盛り込まれているほか、SlideShareなどでも情報が共有されている。どのように組織として情報を発信していこうという流れになったのか」と問うと、喜屋武氏は「もともと情報を積極的に共有する文化が社内に根付いている」と、企業文化の影響が大きいことを示した上で、「こうしたデリケートな情報を発信するにあたっては、出し方やその頻度に気をつけるべきという意見もあったが、ユーザーへの説明責任という観点から、出せるものは出すという意識のほうが強くあった」と当時の心境を語った。
また、事故対応時にクラウドサービス運営元のハンドリングが難しいという問題について、根岸氏は「事故が起きて初めてわかることもあるが、窓口のわかりやすさやサポートのスムーズさも、クラウドサービス選定の要素になりえる」とコメント。クラウドサービス選定時に事故対応の視点を取り入れることの重要性が今後増していくとした。
参加申込み者が2020年に最も良かったと感じた事故対応は?
審査員5名によるパネルディスカッションでは、まず、本イベントへの参加申込者に対する「2020年内で良かったと思う事故対応をした企業/団体」のアンケート結果が発表された。1位は、東京証券取引所、2位はカプコンという結果になった。
東京証券取引所は、システム障害により終日取引停止となった事故に対する記者会見が高評価を集めたかたちだ。これに加え、調査報告書についても高く評価しているという北河氏。「通常であれば、調査報告書は第三者委員会が作成するものだが、今回は社外取締役の久保利英明弁護士を中心にまとめられた。久保利弁護士は、第三者委員会報告書格付け委員会の委員長も務めており、報告書はツボを心得た非常にわかりやすく公平な内容だった」とその印象を語った。
ランサムウェア感染による情報流出に対応したカプコンがランクインしたことに対し、根岸氏は「意外な結果」と述べた上で、「VirusTotalなどのサイトに検体を送信すると、そこから被害企業が明らかになり、被害企業と攻撃者とのやり取りなどが暴露されてしまうケースが相次いでいる。その内容が報道されてしまうとコントロールがしづらくなるため、被害の当事者からすると公表するタイミングが難しい」と、ランサムウェア感染による事故対応の難しさを指摘した。
5名の審査員が注目した2020年のインシデント
続いてパネルディスカッションは、各審査員が注目したインシデントの話題に移った。
徳丸氏が挙げたのは、ふくい産業支援センターが運営する企業支援サイト「ふくいナビ」の障害だ。同事案では、クラウドサーバの運用を受託していた事業者の手続きミスにより、バックアップを含むクラウド上の全データが消失してしまった。後の調査により、オンプレミスで利用していた旧サーバにバックアップデータが残っていたことが判明したため復旧に至ったが、インシデント発生当初はその事実を同センターが把握しておらず、「復旧が不可能な状態」と説明されていた。
「事業継続を考える上で貴重なインシデントでした。契約内容は盲点になりやすいので、クラウドサービスの選定時には気をつけるべきです。通常だと、クラウドサービスは契約解除後も一定の猶予期間を設ける場合が多くなっています。しかし、本件では情報漏えいのリスクを考慮してか、契約期間終了後にデータを保持せず削除する規約になっていました」(徳丸氏)
北河氏は、総務省の「行政不服審査裁決・答申検索データベース」上に公開されたPDFファイルに個人情報が含まれていた新潟県庁の事案を挙げた。同庁は事案発覚後、新潟県のホームページで公開および外部に提供したPDF/Office文書約9万件について全庁調査し、その結果を公表した。「9万件に対して調査したことは素晴らしい」と北河氏は評価する。
また、託送料金計算システムの障害により、一部利用者への電気料金請求書送付遅延や小売電気事業者への誤請求が発生していたという九州電力のインシデントを挙げたのは根岸氏である。最終報まで9回にわたって調査結果が詳細に報告されたことに対し「事故原因は複雑だが、事故対応としても見習えるところは多い」とコメントした。
辻氏は、小樽観光協会によるEmotetメールへの注意喚起を挙げた。同協会は、職員の名前や観光協会のアドレスを悪用したなりすましメールが多発したことを受けて、不審メールの見分け方など詳細な情報をWebサイトに掲載した。これに対し辻氏は「JPCERT/CCのリンク掲載やコピペで終わりではなく、自分たちで調べて読みやすくわかりやすいかたちで伝えている」と評価した。
piyokango氏は、三菱重工グループ 名古屋地区において、従業員端末が在宅時に個人SNS経由でマルウェア感染した事案を挙げた。
「コロナ禍の象徴的なインシデントの1つです。比較的うまく取り回しされていたと思います。2011年に発生した情報流出事故のプレスリリースに比べて、より細かくわかりやすくなりました。この10年で改善されたという点に興味関心を持ちました」(piyokango氏)
関係者の意識を変え、”アワード受賞辞退ゼロ”を目指す
今年で第6回目を迎えたセキュリティアワード。回数を重ねてきたものの、いまだに受賞を辞退する企業が目立つのは残念だ。辻氏は、「『被害者がいるのに何を言ってるんだ』という雰囲気をつくらないよう、良い事故対応があればハッシュタグを付けてSNSに投稿するなど、見ている側も変わっていく必要がある。時間は掛かると思うが、”受賞辞退ゼロ”を目指していきたい。長い目で見て付き合っていただければ」と今後の展望を語った。
情報セキュリティ事故に遭った企業を責めるのではなく、その後の対応が良かった点にフォーカスすることは、企業活動はもとより、社会にとっても大きなメリットがある。ぜひ、セキュリティ事故に遭遇した際の対応について、改めて見直す機会としてほしい。