http://internet.watch.impress.co.jp/cda/news/2008/06/18/19989.html
行ったセミナーの記事が出てた。
というわけで、昨日のセミナーのまとめっていうか殴り書きｗ
あまり参考にならないだろうけどｗ

・事件発覚前のサウンドハウス社の売り上げの75%はインターネット経由のものである。
・売り上げのうちクレジットカードを使用した決済は38%であった。
・代金引換、銀行振込み、クレジットカード決済はほぼ満遍なく使用されていた。
・プレスリリース（http://www.soundhouse.co.jp/news/20080418.pdf）を出すにあたり、
　社内、LACからの反対があった（プレスリリース後、問い合わせが増えると考えたため）
　が、事件の詳細を出すことにより社会へのセキュリティに対する認識が向上すると考え、
　公開した。
・その際、クレジットカードが使用できなくなることも考慮したが、2割程度の売上げ減で
　済むと判断した。（実際どれだけ減ったかは教えてくれなかったｗ）
・2006年までのログがたまたま残っていたため、2006年ごろには既に攻撃されていたこと
　がわかった。それ以前から攻撃されていたかもしれない。
・流出した可能性がある個人情報の件数は12万件である。しかしこれは最大値であり、
　ログから9万5千件しか漏えいしていないことがわかった。そのうちカード番号を含んだ
　件数は2万7千件であった。
・漏えいしたカード情報のうち4811件が被害にあったが、そのほとんどが2008年に登録
　されたものであった。
・カード会社との連携により情報公開日を定めたが、公開日前に被害のあった顧客から
　問い合わせが集中した。どうやらカード会社が不正使用された顧客に連絡した際に
　情報を漏らしたようだ。カード会社も決めた情報公開日を守ってほしい。
・サウンドハウスとしては情報を逐次公開したかった。しかし、カード会社は情報公開す
　ることでパニックが発生することが予想されたため、十分な準備期間をほしがった。
・顧客とカード会社との板ばさみになったことが大変だった。
・対策費用の総額は2800万円ほどであり、その内訳は、調査費用に400万、サーバ
　の修正、監視サービス等に2400万ほどかかった。（ソフトウェアの回収は含まれてい
　ないようだ）
・24時間365日の監視体制を実施していれば、被害はもっと小さかったかもしれない。
　監視体制の重要性を痛感した。
・今後の社会への提言は以下のとおり。
　一般市民：もっとセキュリティ意識を高めるべきではないか？
　一般企業：被害の実態をもっと公開して情報共有してはどうか？
　カード会社：事件が発生したときに仕切るだけではなく、公開できないような情報を
　　　　　　　　もっと公開してほしい。
　セキュリティ会社：適切なアドバイスが一般に知られていないのではないか？
　行政：ISMSなどの規格に準拠いるかどうかはみるが、具体的な対策のガイドラインを
　　　　出してもよいのではないか？
・今回の事件で以下のことが必要と感じた。
　1. 現在の攻撃のトレンド情報などの警報をわかりやすく教えてほしい。
　2. セキュリティ対策を全ての人（プレイヤー）が自己防衛のために考えなければなら
　　　ない。
　3. 現在被害がない組織もマルウェアが既に侵入している可能性がある。侵入されて
　　　いないことを確認するには、投資を行う必要がある。問題があれば、修正しなけれ
　　　ばならない。
　4. 24時間365日の監視体制が必要である。
　5. 事件が発生した場合に備えて、対策本部を設立しておく必要がある。
　6. セキュリティに詳しい人材を確保する必要がある。
　7. 効果的なセキュリティ対策基準が必要である。