「第5回情報セキュリティ事故対応アワード」に行ってみた。というか今回は観た。 #事故対応アワード
どもどもにゃんたくです(「・ω・)「ガオー
さて、今回はこちらに行ってきました!
第5回情報セキュリティ事故対応アワード
行ってみた。。。ではないですね。
今回は新型コロナウイルスの影響でオンラインセミナーに変更になったので、正確に言えば『観てみた』になります。
待機中でやんすすすすす🤗 #事故対応アワード pic.twitter.com/TV7HXdNn2V
— にゃん☆たく (@taku888infinity) 2020年3月10日
映像も音声も問題なく配信されたのはマイナビさんのおかげでしょう。
快適に視聴することができました。ありがとうございます。
さて当日はTwitterと連動しながらすすめる場面もありました。
その時のハッシュタグは「#事故対応アワード」
このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。
今年でこのアワードも5年目になりました。
第1回~第4回までの受賞企業などはマイナビさんも公開してくれていますので、参考にしてみてください。
ちなみに、昨年のぼくの『行ってみた』ブログはこちらです。
参考にしていただければ幸いです。
まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。
▼情報セキュリティ事故対応アワードとは
セキュリティ事故後の対応(インシデント・レスポンス)が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。
ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。
→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい
▼部門賞一覧
最優秀賞、優秀賞、特別賞、報道賞
※報道賞は第2回から新設。有識者が「良かったと感じた記事」を讃える賞
▼評価軸
・事故発覚から、第一報までの時間(事故報告するまでの期間、頻度)
・発表内容(原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等)
・自主的にプレスリリースを出したか(報道だけではなく、自社発信)
▼評価対象期間
・昨年1年間
※第5回の今回は2019年1月から2019年12月まで。
▼ 審査員
・北河 拓士 氏 (Twitter : @kitagawa_takuji)
・根岸 征史 氏(Twitter : @MasafumiNegishi)
・piyokango 氏(Twitter : @piyokango)
・・・セキュリティのBIG 5の皆様です。ちなみにアワード委員長は、辻さんです。
事故対応アワードのツイッターアカウントも第3回からできています。
また前回に引き続きアワード中に受賞団体を取材した記事も公開されていました。
さてなんとなくですが、どんなアワードかわかっていただけたかと思います。
そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。
この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。
では、なぜ褒めるのか。
それは「情報セキュリティ事故対応アワードとは」にも書いた、
→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい
の一言に尽きるのでは無いでしょうか。
もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。
しかしながら、インシデントは「起きてしまう」ものです。
インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。
では、今回のアワードについてまとめてみましょう。
今回の事故対応アワードは、アワードとパネルディスカッションの2段階構成で行われていました。
アワードの内容、パネルディスカッションの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。
第5回情報セキュリティ事故対応アワード
選考概要
・評価対象期間:2019年1月~2019年12月
・調査件数:数百超件
・ノミネート:16件
受賞結果概要
▼殿堂入り
▼最優秀賞
該当なし
▼優秀賞(3件)
・ビジュアルアーツ
・残り2件辞退
▼特別賞(2件)
・2件とも辞退
殿堂入り
【受賞】
※第3回、第4回と優秀賞を受賞
※殿堂入りはアワードでは初
【受賞理由】
・パスワードリスト型攻撃による不正アクセスを受けており、2019年は合計6回報告している
・パスワードリスト型攻撃を都度検知して発表しており、多くの企業が公表を見送っているにも関わらず何度もリリースを出している
【インシデント概要】(6回分)
弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて
▼2019年02月06日
https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20190206.pdf
▼2019年03月28日
https://www.dinos-cecile.co.jp/whatsnew/topics_20190328.pdf
▼2019年07月31日
https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20190731.pdf
▼2019年09月25日
https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20190925.pdf
▼2019年10月23日
https://www.dinos-cecile.co.jp/topics_20191023-2.pdf
▼2019年11月21日
https://www.dinos-cecile.co.jp/whatsnew/topics_20191121.pdf
【その他関連情報】
【セキュリティ ニュース】セシール通販サイトで不正ログイン被害 - 試行は16回(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】セシールに17回のPWリスト攻撃 - 一部でクレカ情報削除(1ページ目 / 全1ページ):Security NEXT
優秀賞(3社)
【受賞】
【インシデント概要】
契約クラウドサービスのネットワーク障害により、スマホゲーム「偽りのアリス」が停止した。
今回のサーバー障害に関する詳細情報をご報告致します。
— 偽りのアリス 公式アカウント (@itsuwari_alice) 2019年12月18日
ユーザーの皆様には大変ご迷惑をお掛け致しました事
改めてお詫び申し上げます。
今後とも偽りのアリスを何卒宜しくお願い致します。#イツアリ pic.twitter.com/0KSXAEA0Ab
【受賞理由(審査員、受賞者コメント含む)】
・障害発生から15分後にTwitter公式アカウントで情報共有。
・データベースの不整合解消などで復旧までに時間が必要だったが、図番を使いながら、障害箇所や復旧状況を分かりやすく説明し、障害情報公開の新たなお手本を示した。
・ユーザーのツイートで検知した5分後に公式Twitterで第一報、第一報を出す判断は現場の人間に一任されていたため、現場の人間が発報を実施。(後程注意はされたそう)
・ユーザーに文字で書いても伝わらないと思ったため、図解で説明にした。
・難しい言葉を使って説明すると逆に「なにか隠そうとしている」と思われる可能性があったのでやめた。
・Twitterを使用して第一報を出した理由は、公式サイト(や本番、開発、アラート検知)もダウンしていたため。基本なにかあればTwitterで、という方針はあった。
・反省としては、公式サイトは別ネットワークにするべき、Twitterをやっていないユーザーもいるため、周知方法は考えないといけない。アプリも公式サイトもダウンしてしまうと『夜逃げ』だと思われてしまう。
【その他関連情報】
2社目、3社目
ともに、辞退。
特別賞(2社)
1社目、2社目
ともに、辞退。
パネルディスカッション
▼事前アンケート結果
=========================
7Pay:11票
象印マホービン:7票
宅ふぁいる便(オージス総研):7票
ディノス・セシール:6票
Norsk Hydro:3票
PayPay:2票
多摩北部医療センター:2票
三菱電機:2票
神奈川県HDD転売
Slack
RIZAP
WinRAR
=========================
▼7Payについて
・サービスを早急に終了した決断を褒めているコメントが意外だった(根岸さん)
・辞めてよかった。辞めるという判断も良いコト。(辻さん)
・辞めざるを得なかったのではないか。(北河さん)
・事故対応でやめたというよりかはビジネス的にたたむべきタイミングでたたんだのではないか。(北河さん)
・世の中合理的判断ができるケースばかりではない。(徳丸さん)
・サービスを『終わらせるとき』はどうするかを考える必要がある(Piyoさん)
セブン&アイHD決算説明資料より セブンイレブンのキャッシュレス決済
— 北河拓士🔰 (@kitagawa_takuji) 2020年3月10日
7月からPayPay等が利用可能になったが7月のキャッシュレス比率(緑の線)は前月比ほぼ横ばい。
キャッシュレスポイント還元開始後の11月でもバーコード決済の利用比率は6.0%とクレジットより低い#事故対応アワード pic.twitter.com/zxPGZhAgMr
【参考情報】
▼象印マホービンについて
・攻撃者視点だと惜しかった。(徳丸さん)
・正規サイトを改ざんして、ユーザーにフィッシングメールで誘導させたが公知になってしまった点が惜しい。
【参考情報】
▼宅ふぁいる便について
・パスワードを平文で保存していた、ことを報告したことは評価できる(辻さん)
【参考情報】
▼Norsk Hydroについて
・発生した事象をFacebookや他のSNSで報告し、Webcastで問い合わせできるようにした。
【参考情報】
▼多摩北部医療センターについて
・最近流行っているEmotet(エモテット)で良い注意喚起していた
・都度注意喚起をしていた点は良かったが、文面の情報が消えていたのは残念
【参考情報】
▼その他
・注意喚起の内容をどこまで公開したらいいか
・脆弱性を突かれた場合、CVEまで公開するかどうか、再発防止につながる注意喚起ってなかなかだしていない
・クローズドなコミュニティで情報共有する、に意味はあるのか
・事故対応アワードも5年目を迎えた、10年20年続けていきたい
ぼくが今回視聴していて感じたのは以下でした。
#事故対応アワード
— にゃん☆たく (@taku888infinity) 2020年3月10日
5年連続参加していますが、今年も楽しくかつ参考になる話が聞けて良かったです。
そして『辞退』が目立つようになってきたのが少し残念だなと感じています。こういう取り組みが日本のセキュリティ意識をあげるものだと思っているので受賞企業は辞退しないでほしいと思っています!
今回の『行ってみた。』は以上となります。書き足りていない部分あるかもしれませんが、ご了承ください。
ここまで読んでいただきありがとうございました。
ではでは。
<更新履歴>
2020/03/10 PM 公開