2018年8月、マイナビさんが主催する「情報セキュリティ事故対応アワード」に参加してきました。そこでは、3月に開催された第3回アワードで優秀賞を受賞した「ぴあ」における情報漏えい事故に関して、当事者と審査員メンバーで赤裸々なディスカッションが行われました。
残念ながらその内容は公開できないものの、オンラインで同社が公開した事故の経過報告の行間に込められた内容や、企業側の思いがストレートに伝わる内容で、個人的に大変感銘を受けました。
今回の事故の原因は、「Apache Struts2」の脆弱(ぜいじゃく)性。多くの企業が同じ原因を突かれて攻撃されました。ぴあの対応を巡るディスカッションは、事故が起こった際に「顧客にどう説明すべきか」「顧客を第一に考えた対応や行動とは何か」を最優先で考える姿勢こそが重要だということを体感できる1時間半でした。
一度起きてしまった事故は、なかったことにはできません。しかしその後の対応次第で、企業の印象は大きく変わります。今回の一件で、私はむしろぴあのファンになってしまうほど、素晴らしい対応や情報公開の姿勢に感謝しています。
(参考)
事故は必ず起きる――その前提で、どう顧客対応を行うべきなのか
「必ず攻撃は起こる」と念頭に置いた上で、事後対応に悩む企業は多いはず 規模の大小を問わず、情報漏えい事故の一歩手前である「侵入」は、防げないと言っても過言ではありません。「防げないからこそ、侵入を必ず検知しよう」「最終的に悪意ある者の目標が達成される前に、どこかで防ごう」――これは、多くのセキュリティベンダーが掲げる多層防御の姿勢です。侵入時点で防げないのならば、どこかでその穴をカバーする。もはや当たり前になった考え方でしょう。不幸にも事故が起きてしまった場合は、全力で顧客目線での対応を行うことも、広い意味での「防御」かもしれません。
一方で、そうしたセキュリティベンダーの姿勢を考える上で、少々気になる事件が話題になっています。それは、顧客目線では“大きな事故”であるにもかかわらず、当事者の説明を見る限り、“ひょっとしたら、企業の側は事故だと認識していないかもしれない”ように見えるもの。1つ目は、決済方面でも注目され、いま周囲を見渡せば必ず1つくらいは目に入るであろう「QRコード」を巡る事件です。
Copyright © ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い
