【第9回】情報セキュリティ事故対応アワード

画像提供：マイナビニュース

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント『情報セキュリティ事故対応アワード』。第9回となる今年もオンラインにて開催いたしました。

今回は数百件のセキュリティ事故を対象に審査員が厳選し、優れた対応32件をノミネート。そのなかから、特に素晴らしかった組織を表彰いたしました。

主催：情報セキュリティ事故対応アワード実行委員会

後援：経済産業省

ロゴデザイン：カミジョウヒロ

審査概要
○審査委員

徳丸 浩 氏：EGセキュアソリューションズ株式会社 取締役 CTO / 独立行政法人情報処理推進機構（IPA）非常勤研究員 / 技術士（情報工学部門）
北河 拓士 氏：NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部
根岸 征史 氏：株式会社インターネットイニシアティブ セキュリティ情報統括室長
辻 伸弘 氏：SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー
piyokango 氏：セキュリティインコ

○審査基準

事故発覚から第一報までの期間、続報の頻度
発表内容 （原因・事象、被害範囲、対応内容）
自主的に情報公開したか

○審査対象期間

2023年1月～2023年12月

優秀賞

【インシデント概要】

Cross Request State Pollutionの脆弱性を突いた情報漏洩

【受賞理由】

発覚から2日でかなり詳細な調査結果を公表。極めて迅速に対応を進めている。また、スクリーンショットを掲載してどこに他ユーザーの情報が表示されるかを明示したうえ、事象、原因、対策も詳しく説明し、利用者・関係者に親切な情報公開となった。Cross Request State Pollutionという珍しい脆弱性の事例として、セキュリティ関係者にとっても大いに参考になる発表だった。

【受賞コメント】

この度は、INVOYのユーザーをはじめ関係者の皆様に多大なご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。事象を確認してすぐに全社で対応を協議し、お客様からの信頼を速やかに回復するために、復旧までのサービスの停止と詳細情報の随時公開を決定しました。特に、発覚当初は影響範囲の正確な把握が困難であったため、早急にサービスを停止し、厳密性よりも速報性を優先して初回報告で暫定的な最大影響範囲を公開しました。お客様への説明責任を果たすために技術的な詳細も公開しましたが、これが結果として業界全体のセキュリティ向上に少しでも繋がるのであれば幸いです。弊社は今後も、誠実かつ迅速な対応を心掛けてまいります。