2017年2月8日（水）

被害発見に「奨励ポイント」を

 株式会社ＭＭ総研
 所長　中島　洋

　日本経済新聞が実施した調査で、過去5年間にサイバー攻撃を受けた、とする企業が回答全体の58%だったと報告された。記事では「58%にのぼる」と攻撃を受けた企業が「多い」と驚きをもって伝えているが、筆者の実感では、この結果は「少ない」という印象である。「受けた可能性がある」という慎重な回答の企業も９％あるそうだが、これらの企業は確実に攻撃を受けていたはずである。
 
　この調査結果で怖いのは「受けていない」と自信のある企業が40%もあることだ。攻撃されているのに気付かないだけ、というケースが多数、この中に含まれているはずだ。認識は甘すぎるのではないか。
 
　単に、攻撃を検知できずにいるだけかもしれない。被害軽微という担当者の独断で報告せず、経営層が「受けていない」と過信しているのかもしれない。あるいは社会的反響を恐れて公表を避け、「実害なし」と世間に虚勢を張っている企業もあるかもしれない。
 
　もちろん、反論もあるだろう。「攻撃を受けたかどうかではなく、システムの障害や情報の漏えいがあったかどうかが問題だ。実害がなければ攻撃がなかったのと同じだ」と言えそうだが、これもどうも甘い。「情報漏えい」の事件は、当事者はまったく気が付かず、外部の指摘で初めて気付くという例が目立つ。それも漏えいが起きてから数か月後、長い時は10年近くも気が付かないケースも少なくない。その間、垂れ流しである。
 
　情報流出が個人データの場合は出回るのが早いので数か月で発覚することが多いが、一般の機密情報は水面下で流通して発覚しにくいはずだ。攻撃を受けた企業は情報が漏えいしているのを知らずに「当社の防御は完全だ」と勘違いしているだけかもしれない。
 
　日経の調査で被害企業が少ないのは、被害を公表した時の社会の非難が恐ろしく、「受けた」と思いたくない、という心理が多分に働いているのではないか。
 
　そういう心理的圧力がなければ、もっと積極的に厳しい社内検査を実施してマルウェアを発見、駆除し、被害があればただちに公表して対策を練るように外部に警報を発する、こういう行動に出やすい。マスコミも官庁も、被害を発見した企業を非難するのではなく、「よく発見した」と「奨励ポイント」を上げて激励するようにしたらどうか。
 
　発想の転換が必要なような気がする。

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。