Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

被害企業名発表にこだわった理由

 三菱電機NECに続いて、防衛関連企業へのサイバー攻撃があったとされる事件。河野大臣はこの2社のほかにもサイバー攻撃を受けていた企業が2社あり、その社名を公表する調整をしていると言っていた。それが先週末に明らかになった。その4社だが、

 

 三菱電機 幅広い事業の中で何が狙われたのかは不明

 NEC 潜水艦のソナー技術

 神戸製鋼 魚雷発射管の材質

 パスコ 地図情報(衛星?)

 

 が個々に狙われたらしい。各社「機密情報は盗まれていない」としていて、政府もそのように発表している。社員などの個人情報、あるいは社内資料のような情報は漏れたかもしれないが、国家機密は無事だったというわけ。それはいいのだが、それなら何故社名公表に防衛省/河野大臣がこだわったのか、どうもよくわからない。

 

 実際問題としてサイバー攻撃を受けたというだけで、6か月後の株価が平均10%下がるというレポートもある。被害がなかったのならもちろん、多少の被害があっても隠したいのが普通の企業体質だ。しかし国家機密が狙われたとあっては、監督官庁たる防衛省には報告するだろうし、現実にこの4社はそのようにしている。

 

    f:id:nicky-akira:20200208113917j:plain

 

 サイバー攻撃を検知したら、これを知るべき立場の関係者に共有することは重要だ。問題はこの「知るべき立場」をどう考えるか、である。河野大臣の言葉をストレートに解釈すると、「被害が無くてもあまねく公表せよ」となってしまう。一方梶山経産大臣も「公表が重要だ」と述べていて、このままだとどんな些細なことでも監督官庁に報告、さらに公表を義務付けられるのではないかと産業界は恐れている。

 

 僕は基本的に「平時のサイバーセキュリティ対策を経営者が自ら見えるようにして、それを適切な範囲で公開する」ことに賛成だ。市場や株主を含めたステークホルダーへの説明責任の一環だと思っている。インシデント対応も基本は同じだ。対策をとった後速やかに「知るべき立場」の組織に内容を伝え、公開できる部分を公開するのがいい。被害がないケースであれば、似たような攻撃がいくつあったなどの情報が集まった時点で関係機関に周知、その後できる範囲で公開すればいい。

 

 ではなぜ河野大臣が社名公表のこだわったのか?タカ派として知られる人だけに、具体的にこんな企業が中国に狙われているとアピールしたかったのかも。社名があった方がインパクトがあるからだ。さらに「それでも国賓で呼びます?」と言いたいのかもしれませんね。