いかに対策していても、情報セキュリティ事故を完全に防ぐことは難しい。
今、企業に求められるのは、事故発生後の迅速な対応である。対応が素晴らしければ、むしろ事故以前よりも企業評価を高め、ユーザーの信頼を勝ち得ることにもつながるだろう。
3月10日、不幸にもセキュリティ事故に遭ってしまった企業の優れた対応を評価する「情報セキュリティ事故対応アワード」が開催された。
審査の評価ポイントは下記の通り
1.事故が発覚してから第一報までのスピード
2.続報の頻度。
3.発表の内容がより詳しいものだったか(原因や被害範囲、対応内容などの情報が含まれていたか)
4.プレスリリースが自主的に出されたものだったかどうか。
んで、表彰を受けた企業が下記。
・株式会社ディノス・セシール
・株式会社ビジュアルアーツ
・株式会社セブン・ペイ
・株式会社オージス総研
・象印マホービン株式会社
インシデントが発生した際は大抵何か問題があり、そこをマスコミに叩かれるのがいつものパターンである。
情報セキュリティ事故対応アワードはそういった原因云々の話ではなく、インシデントそのものへの対応を評価するという取り組みなので、この件に関しては視点を変えて見ていきたい。
B2C企業のインシデントレスポンスは大企業になればなるほど権限移譲がされていないと情報公開は遅くなる。
いざ公開するにしても、アナウンス文の作成後、上長のチェックが入ったり、広報のチェックが入ったり、企業グループの場合は親会社のチェックが入ったりするからである。
ディノス・セシールは残念ながら高頻度でパスワードリスト攻撃を受けていることから、この辺の対応が定常化できていると考えられる。
ビジュアルアーツはもともと人数が少ないとの事なので、組織化されていないものの、インシデントハンドリングができる優秀な人がいれば、スピード感のある的確な対応ができるのだろう。ただ、個人的にはこの辺は属人的なリスクが潜んでいるのではと考えている。
セブン・ペイはインシデントハンドリングそのものは最低極まりないものであったが、事業撤退の判断は素早く行われたことが評価されたようである。
7Payと宅ふぁいる便はセキュリティ対策をないがしろにした結果、インシデント発生に繋がり、そのインシデントが事業撤退に繋がってしまった。
セキュリティをコストと思い込んでいる経営者は考えを改めてもらいたい。
【参考】
https://news.mynavi.jp/itsearch/article/security/4911
