【マンスリーレポート2003/10】事後対応の "ベスト・オブ・ベスト"　「Scan Security Management Award」が決定

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

　月に一度、インターネット上で発生したインシデントの中から編集部が独自の観点で、質の高い事後対応を行ったとみられる企業を「ベスト」、そうでないと思しき企業を「ワースト」として選出しているマンスリーレポートだが、今月はお休みし、特別編ということで「Scan Security Management Award」の発表を行いたい。

　「Scan Security Management Award」は、2002年1月から2003年10月まで、事後対応マンスリーレポートで「ベストプラクティス」に選ばれた複数の企業の中から、最も優れた対応をみせた企業に対して「金賞」「銀賞」を授与するものである。なお、この賞はインターネット事業者の業界団体である社団法人日本インターネットプロバイダ協会（JAIPA）が協賛している。さっそく以下に発表しよう。

＜　第一回　Scan Security Management Award　＞
　◇金　賞◇　学校法人　河合塾
　◇銀　賞◇　NTTコミュニケーションズ株式会社

　金賞、銀賞を獲得した両社は、被害の規模こそ違えど、対応の速さについてはそれぞれの規模で「最速」といえるほどであった。

　報告者との連絡も、迅速でありながら事故に冷静に対処している印象を強く受けた。両社とも複数回のやりとりが報告者との間でなされ、逐一現況報告がなされるとともに、報告者の意見も「重要な一意見」として社内で充分に検討されている。

　告知内容はいづれの企業もアカウンタビリティを充分果たすものであり、ユーザへの伝達も複数の手段を併用し、あらゆるユーザの立場を想定して作られていた。

>> 銀賞は、NTTコミュニケーションズ

　NTTコミュニケーションズの「OCN」サービスは、レンタルサーバ事業を展開する業界屈指の大手。いわばネットワークに関する社会的な基盤を形成する役回りといえるだろう。こうした企業が銀賞となることは、社会全体にとっても意義のあることだ。

　2002年3月、OCNのレンタルサーバサービスに利用されているサーバにクロスサイトスクリプティング脆弱性があることが判明。

　OCNでは3月18日に顧客の1社から指摘を受け、対応を開始。問題の影響度をかんがみ、即座にサービス開発、運用、カスタマーサポート、セキュリティ、技術などの部門から担当者が集められ、横断的なチームが結成されている。3月26日には、指摘された脆弱性の主要部分を先行して取り除く「暫定対処」、4月8日には、該当するすべてのサーバのバージョンアップを完了させる「本格対処」が完了している。

　翌年2003年5月には「レンタルサーバクラッキング」と称される脆弱性等が発見されたが、これも編集部からOCNへ一報を入れてから約1週間程で対応が完了している。プロジェクトチームが社内で組まれ、事実確認、リスクアセスメント、対策の検討、検証、実施といった作業を分担して対応にあたった。

＜省略＞

※詳しくはScan Daily ExpressおよびScan Security Managementをご覧ください

>> 金賞は、河合塾

　第一回目の金賞に選ばれたのは、河合塾。ご存知の通り教育機関であり、ネットワークを駆使したサービス展開をしてはいるものの、IT専門企業というわけではない。既存の業態にITを「ハヤリモノ」として導入し、ずさんな管理をする企業も多々あるが、今回の受賞は河合塾がITの本質を捉え、ユーザの立場を見越した上で導入していたことを証明した結果である。

　2002年9月、河合塾が提供する大学入試情報サイト「Kei-Net」において、顧客情報64名分のデータが、Kei-Net会員からアクセスできる環境にあることが判明した。その時点で河合塾は閲覧環境にあった個人情報ファイルの削除を実施。その2日後、被害に遭われた方々に向けて告知メールを配信している。

　特筆すべきは、告知の内容。「影響と河合塾の対応」とした項目では、ファイル閲覧者が第三者に見せる可能性も否定できないこと、問題判明時からホームページ等を検索し、第三者入手の有無を調べているが現在のところその形跡は見つかっていないこと、だからといって会員データを使って迷惑メール・迷惑電話が全くこない、とは言い切れないこと…といった具合に、「最悪のケース」までも想定した書き方がされている。「ごまかし」に走る企業もある中、こうした対応は逆にユーザの信頼感を高めるものだ。事実、被害に遭われたひとりのユーザは『起こりうる最悪のケースに敢えて言及し警告を発している第一報は、被害者としてもむしろ信用が高まるものだった』というコメントを編集部に寄せている。

＜省略＞

※詳しくはScan Daily ExpressおよびScan Security Managementをご覧ください

[ Prisoner DAMRAK ]

※「Scan Security Management Award」の詳細レポートはScan Security Wireの姉妹誌である「Scan Security Management」に掲載されました。

※詳しくはScan Daily ExpressおよびScan Security Managementをご覧ください
Scan Daily Express
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
Scan Security Management
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?ssm01_netsec