にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

「第5回情報セキュリティ事故対応アワード」に行ってみた。というか今回は観た。 #事故対応アワード

どもどもにゃんたくです(「・ω・)「ガオー

 

さて、今回はこちらに行ってきました!

第5回情報セキュリティ事故対応アワード

news.mynavi.jp

 

行ってみた。。。ではないですね。

今回は新型コロナウイルスの影響でオンラインセミナーに変更になったので、正確に言えば『観てみた』になります。

 

映像も音声も問題なく配信されたのはマイナビさんのおかげでしょう。

快適に視聴することができました。ありがとうございます。

 

さて当日はTwitterと連動しながらすすめる場面もありました。
その時のハッシュタグは「#事故対応アワード」

このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。

togetter.com

 

今年でこのアワードも5年目になりました。

第1回~第4回までの受賞企業などはマイナビさんも公開してくれていますので、参考にしてみてください。

news.mynavi.jp

news.mynavi.jp

news.mynavi.jp

news.mynavi.jp

 

ちなみに、昨年のぼくの『行ってみた』ブログはこちらです。

参考にしていただければ幸いです。

mkt-eva.hateblo.jp

 

 

まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。

▼情報セキュリティ事故対応アワードとは

セキュリティ事故後の対応(インシデント・レスポンス)が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。

ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

 

▼部門賞一覧

最優秀賞、優秀賞、特別賞、報道賞

※報道賞は第2回から新設。有識者が「良かったと感じた記事」を讃える賞

 

▼評価軸

・事故発覚から、第一報までの時間(事故報告するまでの期間、頻度)

・発表内容(原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等)

・自主的にプレスリリースを出したか(報道だけではなく、自社発信)

 

▼評価対象期間

・昨年1年間

※第5回の今回は2019年1月から2019年12月まで。

 

▼ 審査員

・徳丸 浩 氏 (Twitter : @ockeghem

・北河 拓士 氏 (Twitter : @kitagawa_takuji

・根岸 征史 氏(Twitter : @MasafumiNegishi

・辻 伸弘 氏(Twitter : @ntsuji

・piyokango 氏(Twitter : @piyokango

・・・セキュリティのBIG 5の皆様です。ちなみにアワード委員長は、辻さんです。

 

事故対応アワードのツイッターアカウントも第3回からできています。

twitter.com

 

また前回に引き続きアワード中に受賞団体を取材した記事も公開されていました。

news.mynavi.jp

 

さてなんとなくですが、どんなアワードかわかっていただけたかと思います。

そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。

 

この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。

 

では、なぜ褒めるのか。

それは「情報セキュリティ事故対応アワードとは」にも書いた、

今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

の一言に尽きるのでは無いでしょうか。

 

もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。

しかしながら、インシデントは「起きてしまう」ものです。

インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。

 

では、今回のアワードについてまとめてみましょう。

今回の事故対応アワードは、アワードとパネルディスカッションの2段階構成で行われていました。

アワードの内容、パネルディスカッションの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。

 

第5回情報セキュリティ事故対応アワード

選考概要

・評価対象期間:2019年1月~2019年12月

・調査件数:数百超件

・ノミネート:16件

 

受賞結果概要

▼殿堂入り

ディノス・セシール

▼最優秀賞
該当なし

▼優秀賞(3件)
ビジュアルアーツ
・残り2件辞退

▼特別賞(2件)
・2件とも辞退

 

殿堂入り

【受賞】

ディノス・セシール

 

※第3回、第4回と優秀賞を受賞

※殿堂入りはアワードでは初

 【受賞理由】

・パスワードリスト型攻撃による不正アクセスを受けており、2019年は合計6回報告している
・パスワードリスト型攻撃を都度検知して発表しており、多くの企業が公表を見送っているにも関わらず何度もリリースを出している

 

【インシデント概要】(6回分)

弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

▼2019年02月06日

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20190206.pdf

▼2019年03月28日

https://www.dinos-cecile.co.jp/whatsnew/topics_20190328.pdf

▼2019年07月31日

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20190731.pdf

▼2019年09月25日

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20190925.pdf

▼2019年10月23日

https://www.dinos-cecile.co.jp/topics_20191023-2.pdf

▼2019年11月21日

https://www.dinos-cecile.co.jp/whatsnew/topics_20191121.pdf

 

【その他関連情報】

【セキュリティ ニュース】セシール通販サイトで不正ログイン被害 - 試行は16回(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】セシールに17回のPWリスト攻撃 - 一部でクレカ情報削除(1ページ目 / 全1ページ):Security NEXT

 

優秀賞(3社)

【受賞】

ビジュアルアーツ

 

【インシデント概要】

契約クラウドサービスのネットワーク障害により、スマホゲーム「偽りのアリス」が停止した。

 

 

【受賞理由(審査員、受賞者コメント含む)】

・障害発生から15分後にTwitter公式アカウントで情報共有。

・データベースの不整合解消などで復旧までに時間が必要だったが、図番を使いながら、障害箇所や復旧状況を分かりやすく説明し、障害情報公開の新たなお手本を示した。

・ユーザーのツイートで検知した5分後に公式Twitterで第一報、第一報を出す判断は現場の人間に一任されていたため、現場の人間が発報を実施。(後程注意はされたそう)

・ユーザーに文字で書いても伝わらないと思ったため、図解で説明にした。

・難しい言葉を使って説明すると逆に「なにか隠そうとしている」と思われる可能性があったのでやめた。

Twitterを使用して第一報を出した理由は、公式サイト(や本番、開発、アラート検知)もダウンしていたため。基本なにかあればTwitterで、という方針はあった。

・反省としては、公式サイトは別ネットワークにするべき、Twitterをやっていないユーザーもいるため、周知方法は考えないといけない。アプリも公式サイトもダウンしてしまうと『夜逃げ』だと思われてしまう。

 

【その他関連情報】

www.itmedia.co.jp

togetter.com

 

2社目、3社目

ともに、辞退。

 

特別賞(2社)

1社目、2社目

ともに、辞退。

 

パネルディスカッション

▼事前アンケート結果

=========================

7Pay:11票

象印マホービン:7票

宅ふぁいる便(オージス総研):7票

ディノス・セシール:6票

Norsk Hydro:3票

PayPay:2票

多摩北部医療センター:2票

三菱電機:2票

神奈川県HDD転売

ビジュアルアーツ

Slack

RIZAP

NEC

WinRAR

ラブライブ

=========================

 

▼7Payについて

・サービスを早急に終了した決断を褒めているコメントが意外だった(根岸さん)

・辞めてよかった。辞めるという判断も良いコト。(辻さん)

・辞めざるを得なかったのではないか。(北河さん)

・事故対応でやめたというよりかはビジネス的にたたむべきタイミングでたたんだのではないか。(北河さん)

・世の中合理的判断ができるケースばかりではない。(徳丸さん)

・サービスを『終わらせるとき』はどうするかを考える必要がある(Piyoさん)

 

【参考情報】

piyolog.hatenadiary.jp

 

象印マホービンについて

・攻撃者視点だと惜しかった。(徳丸さん)

・正規サイトを改ざんして、ユーザーにフィッシングメールで誘導させたが公知になってしまった点が惜しい。

 

【参考情報】

www.zojirushi.co.jp

www.zojirushi.co.jp

 

宅ふぁいる便について

・パスワードを平文で保存していた、ことを報告したことは評価できる(辻さん)

 

【参考情報】

www.ogis-ri.co.jp

 

▼Norsk Hydroについて

・発生した事象をFacebookや他のSNSで報告し、Webcastで問い合わせできるようにした。

 

【参考情報】

piyolog.hatenadiary.jp

japan.zdnet.com

 

▼多摩北部医療センターについて

・最近流行っているEmotet(エモテット)で良い注意喚起していた

・都度注意喚起をしていた点は良かったが、文面の情報が消えていたのは残念

 

【参考情報】

piyolog.hatenadiary.jp

www.metro.tokyo.lg.jp

 

▼その他

・注意喚起の内容をどこまで公開したらいいか

脆弱性を突かれた場合、CVEまで公開するかどうか、再発防止につながる注意喚起ってなかなかだしていない

・クローズドなコミュニティで情報共有する、に意味はあるのか

・事故対応アワードも5年目を迎えた、10年20年続けていきたい

 

 

ぼくが今回視聴していて感じたのは以下でした。

 

 

 

今回の『行ってみた。』は以上となります。書き足りていない部分あるかもしれませんが、ご了承ください。

 

ここまで読んでいただきありがとうございました。

ではでは。

 

<更新履歴>

2020/03/10 PM 公開