少し旧聞になるが、さる7月26日にセコムトラストネット主催の「サイト攻撃!緊急対策セミナー」というイベントがあり、カカクコムの取締役である遠藤玄声氏が、不正アクセス事件の対応の一部始終を話した。この講演の内容についてはすでにITmediaなどでも報じられている。
私が驚いたのは、この講演の中で遠藤氏がカカクコムを新潟中越地震の被災者にたとえたことだった。この話は、ITmediaの記事にも出てこない。以下、講演の該当部分のテープ起こしである。
<もっと驚いたのは、取材が来るのは分かっていたが、こういう不正侵入が起きたときに、その技術的な原因は何だというのを明らかにすべきだとマスコミに言われたことだった。それは一理はあるけれど、その時点では回復は行われていないし、確認も行われていない。警察に証拠を提出してる段階で、警察はあまり(外部に)言ってほしくないと言っている。状況はどんどん変わっているし、その場で落ち着いてデシジョンできないタイミングで、すべて情報を開示しろと言われて、僕らは混乱した>
<弁護士にも相談したが、言うべきだというのも一理あるし、隠すというのではなく、言うことによるリスクもある。予防になると同時に、素人犯罪を誘発する可能性もある>
<メディアに情報公開を迫られたのは、精神的にショックだった。ただでさえ混乱している中で、中越地震で仮住まいで体育館で、メディアに『何食べてるんですか』と聞かれるとショックだ、というようなものだった>
確かに新潟中越地震の際、避難所で生活しているお年寄りたちにマイクを向けたテレビの記者たちの姿はあまりにも傍若無人だったし、節度をわきまえないものだった。そもそもそうした取材が必要なのかどうかという議論も行うべきである。
しかしそうした大規模災害における報道姿勢の問題と、セキュリティ事故における報道というのはまったく異なる。なぜならセキュリティ事故においては、不正侵入なりウィルス感染を引き起こした企業の側が、「圧倒的な無辜の被害者」であるということはあり得ないからだ。クラッカーがすべて悪いと決めつけるだけではなく、事故を引き起こした企業の側もきちんと情報を開示し、その責任の所在をはっきりとすべきなのである。
ところがカカクコムは、当初から社長が「わが社は完璧なセキュリティ体制を敷いてきた」と言い募り、みずからの責任を否定してきた。その無責任体質が、セミナーでの遠藤氏の「被災者発言」にもつながっているように思えてならない。
遠藤氏はセミナーで「情報を公表するリスクが読めなかった」と何度も繰り返し、会場から「公表のリスクが読めないということをおっしゃるが、公表しないリスクは読めたのか?」と聞かれると、次のように答えた。
<リスクをすべてあの時間に分析するのは無理だった。どちらにも一理あるのはわかったが、天秤をかける時間さえなくて、ある選択肢をとったというのが正直なところだ。もう一度起きたら同じアクションをとったかと言えば、全然別の話になる。こう言うときにはこういう風にした方がいいというのを、社会的コンセンサスを作った方がいいとは思うが、サイバーテロというのは過去にあまり起きていない>
そもそもみずからのシステムの脆弱性が原因で不正アクセスなどを許してしまった場合には、二次被害を防ぐために被害企業は一刻も早い情報の開示が求められている。これはセキュリティ業界のコンセンサスであり、情報処理推進機構(IPA)も各企業にそう要請している。「社会的コンセンサスを作った方がいい」というのはあまりにも独自の論理で、私にはどこの「社会」のことを言っているのか、理解できない。
さらに??もっとひどいことに、遠藤氏はこんなことさえ言っていた。
<今回のトラブル回復でいちばん心を痛めたのは、技術系マスコミの批判に、社員がショックを受けたことだった。公表すべきかどうかを悩んだ挙げ句に、公表するリスクを読めずに出さなかった。まるで強姦被害者が、チャラチャラしていたんじゃないのと言われたような心境だった>
なんと、みずからを強姦被害者にたとえたのである。これは暴言以外の何ものでもない。
強姦被害者や地震の被災者といった無辜の人々と、みずからのセキュリティの低さを突かれて引き起こした不正アクセス事件を同等に捉えるというのは、いったいどういう神経なのだろうか。私の理解の範囲を超えている。
私が驚いたのは、この講演の中で遠藤氏がカカクコムを新潟中越地震の被災者にたとえたことだった。この話は、ITmediaの記事にも出てこない。以下、講演の該当部分のテープ起こしである。
<もっと驚いたのは、取材が来るのは分かっていたが、こういう不正侵入が起きたときに、その技術的な原因は何だというのを明らかにすべきだとマスコミに言われたことだった。それは一理はあるけれど、その時点では回復は行われていないし、確認も行われていない。警察に証拠を提出してる段階で、警察はあまり(外部に)言ってほしくないと言っている。状況はどんどん変わっているし、その場で落ち着いてデシジョンできないタイミングで、すべて情報を開示しろと言われて、僕らは混乱した>
<弁護士にも相談したが、言うべきだというのも一理あるし、隠すというのではなく、言うことによるリスクもある。予防になると同時に、素人犯罪を誘発する可能性もある>
<メディアに情報公開を迫られたのは、精神的にショックだった。ただでさえ混乱している中で、中越地震で仮住まいで体育館で、メディアに『何食べてるんですか』と聞かれるとショックだ、というようなものだった>
確かに新潟中越地震の際、避難所で生活しているお年寄りたちにマイクを向けたテレビの記者たちの姿はあまりにも傍若無人だったし、節度をわきまえないものだった。そもそもそうした取材が必要なのかどうかという議論も行うべきである。
しかしそうした大規模災害における報道姿勢の問題と、セキュリティ事故における報道というのはまったく異なる。なぜならセキュリティ事故においては、不正侵入なりウィルス感染を引き起こした企業の側が、「圧倒的な無辜の被害者」であるということはあり得ないからだ。クラッカーがすべて悪いと決めつけるだけではなく、事故を引き起こした企業の側もきちんと情報を開示し、その責任の所在をはっきりとすべきなのである。
ところがカカクコムは、当初から社長が「わが社は完璧なセキュリティ体制を敷いてきた」と言い募り、みずからの責任を否定してきた。その無責任体質が、セミナーでの遠藤氏の「被災者発言」にもつながっているように思えてならない。
遠藤氏はセミナーで「情報を公表するリスクが読めなかった」と何度も繰り返し、会場から「公表のリスクが読めないということをおっしゃるが、公表しないリスクは読めたのか?」と聞かれると、次のように答えた。
<リスクをすべてあの時間に分析するのは無理だった。どちらにも一理あるのはわかったが、天秤をかける時間さえなくて、ある選択肢をとったというのが正直なところだ。もう一度起きたら同じアクションをとったかと言えば、全然別の話になる。こう言うときにはこういう風にした方がいいというのを、社会的コンセンサスを作った方がいいとは思うが、サイバーテロというのは過去にあまり起きていない>
そもそもみずからのシステムの脆弱性が原因で不正アクセスなどを許してしまった場合には、二次被害を防ぐために被害企業は一刻も早い情報の開示が求められている。これはセキュリティ業界のコンセンサスであり、情報処理推進機構(IPA)も各企業にそう要請している。「社会的コンセンサスを作った方がいい」というのはあまりにも独自の論理で、私にはどこの「社会」のことを言っているのか、理解できない。
さらに??もっとひどいことに、遠藤氏はこんなことさえ言っていた。
<今回のトラブル回復でいちばん心を痛めたのは、技術系マスコミの批判に、社員がショックを受けたことだった。公表すべきかどうかを悩んだ挙げ句に、公表するリスクを読めずに出さなかった。まるで強姦被害者が、チャラチャラしていたんじゃないのと言われたような心境だった>
なんと、みずからを強姦被害者にたとえたのである。これは暴言以外の何ものでもない。
強姦被害者や地震の被災者といった無辜の人々と、みずからのセキュリティの低さを突かれて引き起こした不正アクセス事件を同等に捉えるというのは、いったいどういう神経なのだろうか。私の理解の範囲を超えている。