【マンスリーレポート 2002/09】インシデント事後対応 ベストはKei-Net(河合塾)、ワーストは三洋電機、富士写真フイルム
2002年9月 Prisoner'Choice インシデント事後対応 ベスト&ワースト
製品・サービス・業界動向
業界動向
2002年9月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。
>> ベストは、Kei-Net(河合塾)
学校法人河合塾が提供する大学入試情報のサイト「Kei-Net」で、個人情報が漏洩する事故が生じた。
9月11日午後、Kei-Net会員から、HP上で顧客データらしきものが見えると第一報が入った。すぐに調べると、Kei-Net Mailの配信申し込みをしたユーザのうち64名分のデータがKei-Net会員からアクセスできる環境にあり、迅速にファイル削除を行っている。
本件の事後対応は、被害に遭われた64名の中のひとり、“dombly”氏から編集部へ届いたメールと、河合塾担当者への取材により明らかになった。
9月13日、河合塾は被害者へ向けて、告知メールを送信。まずお詫びがあり、経緯および流出データ(氏名、住所、メールアドレス、電話番号、勤務先・在籍学校など)、これらのファイルがこれまでにKei-Net会員からアクセスされた回数(27回)が明記されていた。
ここまでも非常に細かく記述されているが、続いての「影響と河合塾の対応」という項目が、非常に誠意を感じるものとなっている。ファイルにアクセスしたKei-Net会員が知りうることになったこと、閲覧者が第三者に見せる可能性も否定できないこと、問題判明時からホームページ等を検索し、第三者入手の有無を調べているが現在のところ見つかっていないこと、だからといって会員データを使って迷惑メール・迷惑電話が全くこない、とは言い切れないこと…といった具合に、現状を正直に述べた上で、できる限りの対応をすると約束している。「告知文面は、事実関係とこちらの対応を的確に伝えることに注意して作成しました」とは河合塾担当者の談、「起こりうる最悪のケースに敢えて言及し警告を発している第一報は、被害者としてもむしろ信用が高まるものだった」とは被害に遭ったdombly氏の談である。
dombly氏は第一報を受け取った後に質問をレスポンスし、河合塾担当者との間で数回、メールのやりとりを行っている。そのレスポンスも非常に迅速であり、被害範疇が特定しにくい事象であるにも関わらず、真摯に調査した結果の報告や、(差障りのない範囲での)アクセスログの開示などが行われた。
本件について河合塾Kei-Net担当は「対応においての基本的スタンスは、会員に不安を抱かせるようなことをしてしまったのだから、迅速に、全てを告知し、不安を解消してもらえるような対応をする、ということです。調査においては“とにかく全てを明らかにしなければ方針の決めようがない”ということで最優先で進めました」とのコメント。見る限り、万全な事後対応であるといえよう。
Kei-Net(河合塾)
http://www.keinet.ne.jp/keinet/
※Kei-Net(河合塾)の事後対応詳細レポートは「Scan Incident Report」にて掲載予定です。詳しくは下記URLをご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml
>> 河合塾 の★取り表
対応の速さ ★★★★★
報告者との連絡 ★★★★
社内体制 ★★★★★
ユーザ告知方法 ★★★★★
ユーザ告知内容 ★★★★★
その後のフォロー ★★★★★
★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけで
はない。
★ 最悪 なしあるいはないも同然
★★ 申し訳程度。
★★★ 許容範囲。
★★★★ 適切な対応。
★★★★★ 考えられることは全て対応。迅速。
>> ワーストは、三洋電機、富士写真フイルム
9月は大手企業2社が、日本国内サイトに被害を与え続けるクラッカー「Silver Lords」のWeb改竄被害に遭った。
[ Prisoner Maga ]
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》