Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

情報セキュリティ事故対応アワード

今年も「情報セキュリティ事故対応アワード」が発表されました。今回で第三回目となりますが、セキュリティ事故の発生リスクが年々高まる中、被害を受けた企業の中で対応が良かった所が評価されるという画期的な表彰。改めて参考になる企業も多いのではないでしょうか。

news.mynavi.jp

■主な評価軸

  • 2017年発生の事件が対象
  • 速報性(事故発覚から第一報までの期間)
  • 続報頻度
  • 発表内容(原因、事象、被害範囲、対応内容)
  • 自主的なプレスリリース

■アワード(ノミネート21件)

  • 【最優秀賞】:該当なし

 

   選定理由

    小規模な不正ログインも検知・対応・報告しており、報告書も充実

    防ぎにくいリスト型攻撃にきちんと対応している

 

  • 【優秀賞#2】:ぴあ / B.LEAGUE(授賞式に出席無し)

   選定理由

    事故対応が的確、(パスワードリセットや対応窓口開設が)迅速

    S2-045の脆弱性を突かれた事をきちんとメディア発表

    (補償額で2億円、被害額公表は史上初?)

    2社の連携が図られている

 

news.mynavi.jp

news.mynavi.jp

 

  • 【特別賞】:2団体(辞退)

 

◆キタきつねの所感

第三回目の受賞企業の方、おめでとうございました・・・・と素直に受け取ってもらえない部分はあろうかと思います。(実際、優秀賞2組織は授賞式に出席してません)

しかし日本を代表するセキュリティ専門家の方々が、『その事故対応について素晴らしかった』と評価している部分については、誇っても良いのではないでしょうか。ぴあやB.LEAGUEの突かれたStrutsの0ディ脆弱性ディノス・セシールが定期的に襲われ続けている事を発表しているリスト型攻撃(パスワードの使いまわし)については、企業側が完全に悪いという訳では無いかと思います。それでも事件が発生したらマスコミに発表して、事件を起こした事を何故か責められる。

内容がどうであれ(0ディ攻撃であっても)事件を責める風潮が続くと、企業は事件を隠す方が有益であると判断するケースも多くなってくる気がします。そういった意味では、そろそろマスコミ側にも、その責任がどの程度企業側にあったのか(事故対象アワード)の視点を持って事件を報道すべきなのではないでしょうか。

情報セキュリティ事故対象アワードは、そうした事を気づかせてくれる良い機会だと思います。是非、多くの方々の話題にのぼり、このイベントが継続され、そして企業(防衛)側も誇りを持って受賞式に出てきて、事件対応の生の話を語って貰えたら・・・なんて夢想します。

 

因みに、日本を代表しないセキュリティ専門家であるキタきつねの、私的最優秀賞は、GMOペイメントゲートウェイさんを挙げます。ぴあ/B.LEAGUEさんよりも早く事件を公開された点について、リリースが出たときにGMO-PGさんは相当たたかれましたPCI DSS視点では、実行計画2017が出てすぐだったのもあるでしょうが)。最初に公開したからこそ、ぴあ/B.LEAGUEも事件発表できたかも知れませんし、他社がStruts2脆弱性に気づけた、防衛が(運よく)間に合った企業も相当あったのではないかと思います。

 

来年のアワードでは『ファーストペンギン』の評価視点も入れて欲しいものです。

leadershipinsight.jp

 

事件報告についても、ぴあ/B.LEAGUEと比較しても、多くの情報が公開されており、インシデントレスポンスのベストプラクティスとなる企業は多いと思います。

 

※私個人としてはセミナーも含め、何度も引用させて頂いてますが、報告書をまだご覧になった事がない方は、事故対応の参考として、是非一読ください。

 

■ 不正アクセスによる情報流出に関する調査報告書 2017.4.30 GMOペイメントゲートウェイ

 (注:3P目からが報告書になります)

 

車の交通事故のイラスト(男性)

 

更新履歴

  • 2018年3月3日 PM(予約投稿)