【マンスリーレポート 2003/02】インシデント事後対応ベストはソニー、ワーストは VISA/MasterCard

　2003年2月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2003年2月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは、ソニー株式会社

　2月のベストはソニー。2件の脆弱性が発覚したが、いずれも速やかな対応で、ユーザに対する真摯な姿勢がうかがえる。

　1月30日、ソニーの製品カタログサイト（http://www.ecat.sony.co.jp/ ）に、Webアプリケーションのセキュリティホールの存在が明るみになった。
　通報があったのは同日。翌31日の昼過ぎには対応を開始し、障害部分が切り離された。21日の昼には対応が完了し、ソニーでは「1/31 の昼からコンテンツがサーバメンテに入り、今朝4時頃対応を完了しました。ログを調査致しましたが、ご指摘頂いた脆弱性に関してはテストと思われるものしかありませんので、cookieの漏洩などの被害は確認できませんでした」とコメントしている。

　早急な対応、通報者との相互連絡など、規範となるべき事後対応といえるだろう。

　もう一点は、ネットワークバイオ。
　2月13日に、セキュリティの脆弱性が確認された旨、および対策がバイオHP上で公開された。
　該当する製品は「ネットワークバイオ」のPCV-JX11GN、同JX10GN、PCV-NV95ENおよびLinkGarage（Ver2.0.00以前）というアプリケーション。悪意のあるサイトへWebブラウザを使ってアクセスした際などに脆弱性の影響による被害を受けるなどの危険性をともなっている。
　対策は、新しいバージョンのLinkGarage Ver2.0.01をインストールすること。同社ではユーザに、使用機器の「ダウンロード＆アップデート」を起動し、LinkGarage Ver2.0.01をインストールするよう告知している。

　総じてソニーの各セクションは、問題があった際に積極的な情報公開を行っている。バイオHPのセキュリティページには、自社製品の脆弱性のみならず、マイクロソフト社が公開する情報を元にした速やかな情報提供がなされており、ユーザアビリティの高いものとなっている。

　問題があった場合、ユーザに対し、情報とパッチの提供することは企業として必須のことであるが「どのような危険性があるか」という部分の説明や、ともすると「セキュリティホールの存在」にも触れず、ただ「セキュリティ機能が向上するパッチをリリースしました」とする企業もたしかに存在する。
　「初心者ユーザに対して過度の心配を与えたくない」という名分をもって、詳細の告知を控える向きもあるが、それは「詳細はこちら」等としてページを別立てすればよい話ではないか。

　早急な対応を行い、すみやかに包み隠さず情報公開すること。同等の理由で2002年の1月においてもソニーを "ベスト" として選出したが、以降も継続してセキュリティ体制が確立され、関与するスタッフも各自理解して対応に臨んでいると思われる。

　ソニーのサイトにセキュリティホール、発覚後早急に修正(2003.2.3)
https://www.netsecurity.ne.jp/article/1/8513.html
　ソニーの「ネットワークバイオ」にセキュリティ脆弱性(2003.2.17)
https://www.netsecurity.ne.jp/article/1/8731.html

>> ソニー株式会社の★取り表

対応の速さ　　　　★★★★
報告者との連絡　　★★★★
社内体制　　　　　★★★★★
ユーザ告知方法　　★★★★
ユーザ告知内容　　★★★★
その後のフォロー　★★★★

★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★　　　　　最悪　なしあるいはないも同然
★★　　　　申し訳程度。
★★★　　　許容範囲。
★★★★　　適切な対応。
★★★★★　考えられることは全て対応。迅速。

>> ワーストは、米VISA、米MasterCard　他

[ Prisoner Maga ]

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml