ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」:セキュリティリサーチャーからの提案(後編)(1/3 ページ)
「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。
マカフィーのセキュリティカンファレンス「MPOWER:Tokyo」で講演を行ったソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏。
レポート記事の前編では、2017年に流行した「WannaCry」などの例を挙げながら、「セキュリティの基礎を再度確認し、土台をしっかりすること」「個人情報以外も狙われることを知り、インシデントが発生したら、社会貢献と考えて正しく情報公開を行う」という、辻氏の提案を紹介した。
後編となる本記事では、辻氏が在席するソフトバンク・テクノロジーで、実際に起きたインシデントをもとに「公開」された情報を紹介する。
証言3:ソフトバンク・テクノロジーが引き起こしたインシデントの裏で
辻氏が所属するソフトバンク・テクノロジーでも、2017年7月にインシデントが起きた。その内容は、同社が保持するサーバに不正アクセスを許してしまったというものだった。
「このインシデントは、使っていないアカウントが残っていたことで起こり、多くのお客さまに心配をかけてしまいました。事件を起こしたことは、胸を張って語るようなことではありませんが、せめてその後の対応については、多くの方の参考にしていただきたいと思っています。
自分も常に、正しい事故対応の姿を追求していたので、対応はしっかりしよう、お客さまに安心してもらおうと思い、組織一丸となって行動しました。今回は、その表に出にくい部分である『人の動き』についてお話しします」(辻氏)
この事件が明らかになったとき、ソフトバンク・テクノロジー内の広報、顧客担当、システム運用部、経営層が集められた。もちろん、第三者機関の窓口、そしてフォレンジックを担当する人間もいる。そこに招集された辻氏は、普段は全く異なる作業を行っているメンバーの間を取り持つ立場だった。
関係者が全員集まった場で、辻氏はソフトバンク・テクノロジー代表取締役社長 CEO 阿多親市氏にこう進言したという――「事故を起こした人を責めないでください」。
インシデントは組織の問題、決して「個人のせい」ではない
「今回の事件を引き起こした人は“たまたま”その人だっただけで、可能性は全員にある。だから、今回の事件は“組織の問題”として考えてほしいのです」(辻氏)。
会議室を見渡すと、皆一様に首をうなだれている中、特にうなだれているメンバーがいることが分かった。それでもあえて、辻氏はこう言った。「やらかした人、責任者の人、手を挙げてくれませんか?」
関連記事
- 今、エバンジェリストが振り返る 「WannaCryは、そこまで騒ぐべき事件ではなかった」
セキュリティのセミナーというと、最新技術を使った防御手法を解説することが多いが、マカフィー主催の「MPOWER:Tokyo」で、ソフトバンク・テクノロジーの辻氏が講演した内容は、自らの目で見てきた事実を軸にした“エモーショナル”なものだった。その講演と辻氏の「思い」を前後編でお届けする。 - 企業の宝、「ソースコード」が盗まれたらどう謝るべきか
Panicの事例が多くのことを教えてくれました。 - GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた
約70万件の情報が漏えいしたとみられるGMOペイメントゲートウェイの不正アクセス事件。100%情報漏えい事故を防ぐことはできない時代、事件を起こした企業がすべき“褒められる対応”を考えてみました。 - あらゆる個人情報を奪われたWIRED記者が犯した“痛恨のミス”
一見、強固に見える「本人確認」にもスキがある――。それを実感させられる事件が米国で起こりました。あらゆる個人情報をハッキングされたこの事件はどうして起こったのでしょうか。こうした事態を防ぐ方法はあるのでしょうか。 - ベネッセ情報漏えい事件から学ぶ、セキュリティ対策の“基本”とは?
2014年も企業の情報セキュリティを脅かす事件は数多く発生している。ソフトバンク・テクノロジーの年次イベントで、セキュリティ専門家の辻伸弘氏がベネッセの情報漏えい事件を例に取り、情報漏えい対策や標的型攻撃対策の“基本”を説明した。
Copyright © ITmedia, Inc. All Rights Reserved.