【マンスリーレポート2004/03】インシデント事後対応　ベストはアッカ・ネットワークス、ワーストは京都府警、北海道警

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.ns-research.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

　2004年3月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2004年3月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは　アッカ・ネットワークス

　2004年3月のベスト対応にはアッカ・ネットワークスを選出した。今後の事後対応の在り方を示すような、質の高い取り組みがなされている。

　3月25日、同社が提供するADSLサービスの顧客情報が流出していたことを発表。流出件数は201名分で、氏名、郵便番号、住所、電話番号、メールアドレス、性別が記載されていた。尚、性別は顧客から情報収集していないため、どこかの段階で個人情報が加工された可能性が高い。

　さっそく対応の経緯を追ってみたい。
　発表日から遡って3月22日、朝日新聞社から201名分のリスト照会を受ける。

　翌23日、照会の確認が取れ、自社が保有している個人情報と同一であることが判明。この時点で、内部緊急対策委員会を設置。この委員会は代表取締役社長の坂田氏、代表取締役副社長の湯崎氏、取締役コーポレート本部長の前沢氏、その他弊社の経営幹部および弁護士で形成されている。アクセスログの解析を含め多角度からの検討、調査に入った。

　そして発表当日の25日。記者発表には社長、副社長が参加している。また、流出の旨を同社HP上で告知開始。お客様問合せ窓口も設置完了している。ちなみに「広報担当」の連絡先も別に記載されている面からも、積極的に情報開示しようとする姿勢が垣間見える。そして当面の間、新規受付を停止することも発表された。

　そして27日、同社HPに進捗状況が告知された。また、この日までに当該ユーザへ直接連絡を行っている。ADSL契約の仕組みから、提携ISP各社（OCN 、＠nifty、DION、BIGLOBE、ASAHIネット、So-net、TikiTikiインターネット）との連携も行う必要があり、そうした面を加味するとじつに迅速な対応がなされたといえる。また、22日に設置済みの内部緊急対策委員会に、監査法人トーマツと株式会社ユーフィットが同日新たにコミットしたことも記載されている。

　31日、情報セキュリティ強化策運用開始の旨が、同社HPに載った。

　◇お客様情報流出の再発防止にむけた情報セキュリティ強化策運用開始のご報告（アッカ・ネットワークス）
http://www.acca.ne.jp/release/040331.html

　上記ページをみるとおわかりになるだろうが、非常に具体性に富んだ対策であるといえよう。高セキュリティルームの設置や外部記憶装置の使用が不可能な環境に整備するなど、物理的な対応も迅速に行われている。

　こうした素早い対応が可能だった理由は何だろうか。事前に危機管理マニュアルは存在していたのだろうか。そのあたりについてお伺いしたところ、以下のコメントを頂いた。

＜アッカ：コメント＞─────────────────────────
　今般のお客様情報流出の事態を厳粛に受けとめ、弊社代表取締役社長の坂田を委員長とする内部緊急対策委員会を直ちに発足し、情報の流出が発覚した時点で外部の危機管理の専門家に相談しながら、お客様の不安や混乱を最小限に抑えることを念頭に対応に努めてまいりました。なお、事前にマニュアル等の用意はしておりませんでした。
───────────────────────────────────

　また、31日の告知で特筆すべきは、それぞれの対応に「完了日」が記載されている点である。現在に至るまで様々な企業による流出事故が生じているが、往々にして「○○を行います」と箇条書きで今後の対策を記し、その後、対策が完了したかどうかは追加告知しないケースが目立つ。「今後さらなる努力をします」という結びにありがちな言葉は、こうした「完了報告」があってこそ意味をなすものといえるだろう。

　4月20日、報道関係に向けたプレスリリースと同社HP内で、情報セキュリティ監査および情報セキュリティ教育の実施について告知されている。監査についてはその方法、実施時期、監査実施機関、また教育は全社的にセミナー形式の集合教育とeラーニングの組み合わせで行われる旨、カリキュラム内容、開始時期などが記されている。繰り返しになるが、実施内容および告知の具体性という意味でも、個人情報を保持する企業にとって非常に参考になる部分が多いと思われる。

　今回の対応は、事前にマニュアルがなくとも経営陣が強い問題意識を持ち、柔軟な組織体制が普段からなされていれば良質な対応ができうることを示すものであったといえるだろう。

　最後に、同社からの統括的なコメントを以下掲載する。

＜アッカ：コメント＞─────────────────────────
　今般のお客様情報流出につきましては、お客様及び関係者の方々には多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げます。現在は、顧客データベースへのアクセス管理およびデータの取出し制限に関連する安全対策を実施し、主要な情報セキュリティ強化策の統合的な運用を開始しております。今後は、外部機関によるセキュリティ監査や情報セキュリティ教育の徹底など再発防止策強化に継続して取り組んでまいります。一刻も早く全容を解明して、お客様の不利益を最小限に留めることが、私どもの責務と考えております。お客様の信用を回復するために、全社を挙げて全容の解明と再発防止に努めております。
───────────────────────────────────

　◇アッカ・ネットワークス
http://www.acca.ne.jp/

>> アッカ・ネットワークス　の★取り表

対応の速さ　　　　★★★★★
報告者との連絡　　★★★★（朝日新聞社）
社内体制　　　　　★★★★★
ユーザ告知方法　　★★★★★
ユーザ告知内容　　★★★★★
その後のフォロー　★★★★★

[ Prisoner DAMRAK ]

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec