【第9回】情報セキュリティ事故対応アワード

優秀賞

【インシデント概要】

オペレーションミスに起因する顧客AWSアカウントの操作不能

【受賞理由】

障害発生の翌日に発生経緯から再発防止策までを「事後検証（ポストモーテム）」というかたちで非常に詳しく公表。経緯では、インシデント発生原因となった作業の選択肢から列挙し、選択した理由と併せて説明することで、当時の担当者の状況を部外者にも伝わるように工夫。図版や画面キャプチャも盛り込み、わかりやすく紹介している。また、ポストモーテムを社内や団体内で実施する企業はあるが、一般に公開するケースは珍しく、透明性を強く重視する姿勢が伝わる発表だった。

優秀賞

2件、残念ながら辞退がございました。

特別賞

【インシデント概要】

過去に開設したふるさと納税特設サイトのXSS脆弱性を突いた情報漏洩

【受賞理由】

クレジットカードの情報漏洩に関するインシデントでは、調査中を理由に詳細に触れない書式で公表されるケースが多い中、志布志市のお知らせでは、外部サービスの脆弱性に起因するXSSが原因であることなどを詳しく明かしていた。利用者への説明責任を果たすと同時に、外部のセキュリティ担当者にとっても参考になる公表となった。

【受賞コメント】

この度は情報セキュリティ事故対応アワードに選出いただきまして、誠にありがとうございます。ふるさと納税特設サイトにおいて情報漏えい事案が発生した際、本市では、「被害を受けた方の立場に立って行動すること、また、正しい情報をそろえてなるべく早く正しい情報をお伝えすること」を第一に考え、お一人お一人に対し、真摯に対応することを心掛けました。そのことにより、結果的に被害を最小限に抑えることができ、利用者様の信頼回復につながったと感じています。今後も志布志市のふるさと納税にご寄附をいただく皆様に安心してサイトをご利用いただき、本市の感謝や真心を安全・安心な特産品に込めて届けさせていただきます。改めまして、この度はありがとうございました。

ご担当者のインタビューはこちら

審査員長特別賞

【インシデント概要】

自社開発・販売のファイル共有パッケージソフトウェアに脆弱性が混入

【受賞理由】

脆弱性発覚後、第8報まで順次情報公開。プレスリリースでは、利用者が攻撃を受けたかどうかを確認する方法まで掲載し、ユーザーが対策をとりやすい状況を作った。

ご担当者のインタビューはこちら

審査員長特別賞

【インシデント概要】

ランサムウェアによるシステムダウン

【受賞理由】

被害を確認後、即日情報公表したうえで、第8報までプレスリリースを更新。プレスリリースでは現状報告、注意喚起にとどまったが、その後、セミナー等に登壇して詳細情報を共有し、セキュリティ関係者に対してランサムウェア被害の良い参考事例を提示した。

ご担当者のインタビューはこちら

授賞式レポート

【過去の開催レポートはこちら】

【第8回】情報セキュリティ事故対応アワード
【第7回】情報セキュリティ事故対応アワード
【第6回】情報セキュリティ事故対応アワード
【第5回】情報セキュリティ事故対応アワード
【第4回】情報セキュリティ事故対応アワード
【第3回】情報セキュリティ事故対応アワード
【第2回】情報セキュリティ事故対応アワード
【第1回】情報セキュリティ事故対応アワード
（）