事後対応でわかる企業姿勢　不十分なアナウンスの UFJ銀行と適切なアナウンスと対処のソニー

　セキュリティ上の問題は、インターネット上でサービスを行う企業にとってはさけて通ることのできない課題である。どのような企業でも、セキュリティ上の問題が発生する可能性は存在している。

>> インシデント事後対応にあらわれる企業のセキュリティ意識

　問題が起こらないように努力するのは、もちろんであるが、起こってしまった時の対処も企業にとって重要である。
　適切な対処を行い、利用者に迅速に告知を行うことができれば、被害を最小限に食い止めることもできる。
　逆に、対処が不適切で、告知も遅れるひどい場合は隠蔽したりすると被害は拡大する。

　インシデント発生時の適切な対処方法は、まだ確立されておらず、企業ごとに異なる対応には、その企業のセキュリティ意識が端的にあらわれわれているといえるだろう。
　今月発生した UFJ 銀行のクロスサイトスクリプティングへの対応とソニーの VAIO セキュリティホールへの対応は、好対照の事例となった。

>> 報告者への対応から告知まで、すべてが好対照の UFJ 銀行とソニー

　このふたつの企業では、報告者への対応から告知まで、どれも好対照となっている。その違いが明確にあらわれ報告者への対応と告知方法を見てみよう。

・報告者への対応
　UFJ 銀行のクロスサイトスクリプティング問題の場合、報告者への対応は特になにもなかった。問題を確認したという連絡もどのように対処するかも全く連絡がなかった。
　これに対してソニーでは、問題の確認から対処方法まで逐次報告者に連絡を行っていた。

・告知方法
　UFJ 銀行の告知は、危険性の説明が不十分であり、まるでなにも問題はないような表記を行っていた。さらに、問題対処後、１週間しかたっていないにもかかわらず、すでにこの問題に関する告知ページを削除している。
　これに対してソニーでは、問題の危険性および対処方法について、web やメール、プレスリリースなどの方法でいち早く利用者に情報を伝える努力を行った。

>> 不適切なインシデント対応は、公害を撒き散らすのと同じ

　セキュリティ上の問題がさけられないならば、その事後対応は必要不可欠になってくる。利用者にとっては、それこそが重要である。
　企業がセキュリティ上の問題について、隠蔽していたら、利用者は自分自身が直面している危険性に気づくことすらできないのである。
　しかも、インターネット上の事故については、ほとんどの利用者は泣き寝入りを余儀なくされている。企業が適切な事後対応をしなければ、ひたすら一方的に被害を受けるだけなのである。
　Nimda に汚染された企業のページを見て多くの被害者がでた事件は、そのよい例である。被害者に対して多くの企業は、適切な対応を行わなかった。被害者は、自分の力で修復するしかなかったのである。

　インターネット上でパブリックサービスを行う以上は、リスク管理、利用者保護の一環としてインシデント対応マニュアルは、ぜひもっておいて欲しい。
　不適切なインシデント対応は、公害を撒き散らすにも等しい。

　編集部では、現在、事後対応マニュアルの雛型を作るプロジェクトを準備している。完成した雛型は、パブリックドメインとして無償で配布する予定である。
　関心のある方、ぜひ手伝いたいと思う方は編集部までご一報いただきたい。

詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

[ Prisoner Langley ]

関連記事
相次ぐトラブル　事後対応の雛型マニュアルの必要性(2001.12.10)
https://www.netsecurity.ne.jp/article/1/3510.html
有効な事故対応とは？(2001.10.5)
https://www.netsecurity.ne.jp/article/1/2971.html