事後対応でわかる企業姿勢 不十分なアナウンスの UFJ銀行と適切なアナウンスと対処のソニー | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

事後対応でわかる企業姿勢 不十分なアナウンスの UFJ銀行と適切なアナウンスと対処のソニー

製品・サービス・業界動向 業界動向

 セキュリティ上の問題は、インターネット上でサービスを行う企業にとってはさけて通ることのできない課題である。どのような企業でも、セキュリティ上の問題が発生する可能性は存在している。


>> インシデント事後対応にあらわれる企業のセキュリティ意識

 問題が起こらないように努力するのは、もちろんであるが、起こってしまった時の対処も企業にとって重要である。
 適切な対処を行い、利用者に迅速に告知を行うことができれば、被害を最小限に食い止めることもできる。
 逆に、対処が不適切で、告知も遅れるひどい場合は隠蔽したりすると被害は拡大する。

 インシデント発生時の適切な対処方法は、まだ確立されておらず、企業ごとに異なる対応には、その企業のセキュリティ意識が端的にあらわれわれているといえるだろう。
 今月発生した UFJ 銀行のクロスサイトスクリプティングへの対応とソニーの VAIO セキュリティホールへの対応は、好対照の事例となった。


>> 報告者への対応から告知まで、すべてが好対照の UFJ 銀行とソニー

 このふたつの企業では、報告者への対応から告知まで、どれも好対照となっている。その違いが明確にあらわれ報告者への対応と告知方法を見てみよう。

・報告者への対応
 UFJ 銀行のクロスサイトスクリプティング問題の場合、報告者への対応は特になにもなかった。問題を確認したという連絡もどのように対処するかも全く連絡がなかった。
 これに対してソニーでは、問題の確認から対処方法まで逐次報告者に連絡を行っていた。

・告知方法
 UFJ 銀行の告知は、危険性の説明が不十分であり、まるでなにも問題はないような表記を行っていた。さらに、問題対処後、1週間しかたっていないにもかかわらず、すでにこの問題に関する告知ページを削除している。
 これに対してソニーでは、問題の危険性および対処方法について、web やメール、プレスリリースなどの方法でいち早く利用者に情報を伝える努力を行った。


>> 不適切なインシデント対応は、公害を撒き散らすのと同じ

 セキュリティ上の問題がさけられないならば、その事後対応は必要不可欠になってくる。利用者にとっては、それこそが重要である。
 企業がセキュリティ上の問題について、隠蔽していたら、利用者は自分自身が直面している危険性に気づくことすらできないのである。
 しかも、インターネット上の事故については、ほとんどの利用者は泣き寝入りを余儀なくされている。企業が適切な事後対応をしなければ、ひたすら一方的に被害を受けるだけなのである。
 Nimda に汚染された企業のページを見て多くの被害者がでた事件は、そのよい例である。被害者に対して多くの企業は、適切な対応を行わなかった。被害者は、自分の力で修復するしかなかったのである。

 インターネット上でパブリックサービスを行う以上は、リスク管理、利用者保護の一環としてインシデント対応マニュアルは、ぜひもっておいて欲しい。
 不適切なインシデント対応は、公害を撒き散らすにも等しい。

 編集部では、現在、事後対応マニュアルの雛型を作るプロジェクトを準備している。完成した雛型は、パブリックドメインとして無償で配布する予定である。
 関心のある方、ぜひ手伝いたいと思う方は編集部までご一報いただきたい。


詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

[ Prisoner Langley ]


関連記事
相次ぐトラブル 事後対応の雛型マニュアルの必要性(2001.12.10)
https://www.netsecurity.ne.jp/article/1/3510.html
有効な事故対応とは?(2001.10.5)
https://www.netsecurity.ne.jp/article/1/2971.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  5. イスラエルのサイバー防衛たてつけ~視察団報告

  6. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  9. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  10. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×