ニュース
» 2017年12月15日 09時50分 公開

セキュリティリサーチャーからの提案(後編):ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」 (1/3)

「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。

[宮田健,ITmedia]

 マカフィーのセキュリティカンファレンス「MPOWER:Tokyo」で講演を行ったソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏。

 レポート記事の前編では、2017年に流行した「WannaCry」などの例を挙げながら、「セキュリティの基礎を再度確認し、土台をしっかりすること」「個人情報以外も狙われることを知り、インシデントが発生したら、社会貢献と考えて正しく情報公開を行う」という、辻氏の提案を紹介した。

 後編となる本記事では、辻氏が在席するソフトバンク・テクノロジーで、実際に起きたインシデントをもとに「公開」された情報を紹介する。

photo マカフィーのセキュリティカンファレンス「MPOWER:Tokyo」で講演を行ったソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏

証言3:ソフトバンク・テクノロジーが引き起こしたインシデントの裏で

 辻氏が所属するソフトバンク・テクノロジーでも、2017年7月にインシデントが起きた。その内容は、同社が保持するサーバに不正アクセスを許してしまったというものだった

 「このインシデントは、使っていないアカウントが残っていたことで起こり、多くのお客さまに心配をかけてしまいました。事件を起こしたことは、胸を張って語るようなことではありませんが、せめてその後の対応については、多くの方の参考にしていただきたいと思っています。

 自分も常に、正しい事故対応の姿を追求していたので、対応はしっかりしよう、お客さまに安心してもらおうと思い、組織一丸となって行動しました。今回は、その表に出にくい部分である『人の動き』についてお話しします」(辻氏)

 この事件が明らかになったとき、ソフトバンク・テクノロジー内の広報、顧客担当、システム運用部、経営層が集められた。もちろん、第三者機関の窓口、そしてフォレンジックを担当する人間もいる。そこに招集された辻氏は、普段は全く異なる作業を行っているメンバーの間を取り持つ立場だった。

 関係者が全員集まった場で、辻氏はソフトバンク・テクノロジー代表取締役社長 CEO 阿多親市氏にこう進言したという――「事故を起こした人を責めないでください」。

photo インシデントへの対応体制図。辻氏は複数の関係部署を取り持つ位置にいた

インシデントは組織の問題、決して「個人のせい」ではない

 「今回の事件を引き起こした人は“たまたま”その人だっただけで、可能性は全員にある。だから、今回の事件は“組織の問題”として考えてほしいのです」(辻氏)。

 会議室を見渡すと、皆一様に首をうなだれている中、特にうなだれているメンバーがいることが分かった。それでもあえて、辻氏はこう言った。「やらかした人、責任者の人、手を挙げてくれませんか?」

       1|2|3 次のページへ

Copyright© 2018 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -