連載
» 2018年09月19日 07時00分 公開

半径300メートルのIT:ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3)

一度起こってしまった情報漏えい事故は、なかったことにできない。だからこそ問われるのが、事件後に各企業がとった対応です。さまざまな“事件”を巡って彼らの評判を分けたものとは、一体何だったのでしょうか。

[宮田健,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 2018年8月、マイナビさんが主催する「情報セキュリティ事故対応アワード」に参加してきました。そこでは、3月に開催された第3回アワードで優秀賞を受賞した「ぴあ」における情報漏えい事故に関して、当事者と審査員メンバーで赤裸々なディスカッションが行われました。

 残念ながらその内容は公開できないものの、オンラインで同社が公開した事故の経過報告の行間に込められた内容や、企業側の思いがストレートに伝わる内容で、個人的に大変感銘を受けました。

 今回の事故の原因は、「Apache Struts2」の脆弱(ぜいじゃく)性。多くの企業が同じ原因を突かれて攻撃されました。ぴあの対応を巡るディスカッションは、事故が起こった際に「顧客にどう説明すべきか」「顧客を第一に考えた対応や行動とは何か」を最優先で考える姿勢こそが重要だということを体感できる1時間半でした。

 一度起きてしまった事故は、なかったことにはできません。しかしその後の対応次第で、企業の印象は大きく変わります。今回の一件で、私はむしろぴあのファンになってしまうほど、素晴らしい対応や情報公開の姿勢に感謝しています。

(参考)

事故は必ず起きる――その前提で、どう顧客対応を行うべきなのか

photo 「必ず攻撃は起こる」と念頭に置いた上で、事後対応に悩む企業は多いはず

 規模の大小を問わず、情報漏えい事故の一歩手前である「侵入」は、防げないと言っても過言ではありません。「防げないからこそ、侵入を必ず検知しよう」「最終的に悪意ある者の目標が達成される前に、どこかで防ごう」――これは、多くのセキュリティベンダーが掲げる多層防御の姿勢です。侵入時点で防げないのならば、どこかでその穴をカバーする。もはや当たり前になった考え方でしょう。不幸にも事故が起きてしまった場合は、全力で顧客目線での対応を行うことも、広い意味での「防御」かもしれません。

 一方で、そうしたセキュリティベンダーの姿勢を考える上で、少々気になる事件が話題になっています。それは、顧客目線では“大きな事故”であるにもかかわらず、当事者の説明を見る限り、“ひょっとしたら、企業の側は事故だと認識していないかもしれない”ように見えるもの。1つ目は、決済方面でも注目され、いま周囲を見渡せば必ず1つくらいは目に入るであろう「QRコード」を巡る事件です。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -