攻撃があった事実を隠蔽したがる企業風土

photo by gettyimages

　サイバーネットワークが社会のいたるところに普及して経済・社会活動に欠かせないインフラとなる中で、中国やロシア、北朝鮮といった国々が他の国の機密情報や金銭の窃取と、経済・社会活動を麻痺させることを狙って、多くのハッカー(サイバー攻撃)集団を養っており、内外で、すっかりサイバー攻撃が常態化してしまった。 【マンガ】「長者番付１位」になった「会社員」の「スゴすぎる投資術」の全容 　⼿⼝も日進月歩で、我々にとって、潜在的なものも含めて、サイバー攻撃の脅威は計り知れないものとなっている。 　それにもかかわらず、日本の大企業は、依然として、サイバー攻撃を受けたことをある種の恥と見なして攻撃があった事実を隠蔽したがる企業風土と決別できていないと懸念する向きは多い。結果として、攻撃の頻度や手口に関する情報の社会全体としての共有が遅れて、国全体として予防と対処の能力がなかなか向上しないというのである。 　こうした中で、本コラムで今回注目したいのが、米証券取引委員会(SEC)が昨年導入を決定して施行した情報開示(ディスクロージャー)ルールの刷新だ。被害には至らなかったケースであっても、重要であればインシデントのタイムリーディスクロージャー(機動的な情報開示)を義務付けるという内容である。日本でも同じ趣旨のルールを設ければ、サイバーセキュリティの能力向上の足枷となっていた社会・企業風土の早期刷新が期待できるのではないだろうか。 　振り返れば、サイバー攻撃は、凄まじい勢いでの常態化してきた。 　最初に、国内で幅広く感心を集めたのは、2000年1月、官公庁のホームページが攻撃を受けたケースだろうか。当時の科学技術庁を始め、複数の中央省庁のホームページが改ざんされたケースだった。 　海外でも、2010年代を通じて、ショッキングなサイバー攻撃が後を絶たなかった。 　2010年1月に発覚したのは、オーロラ作戦だ。米マイクロソフト社のインターネット閲覧ソフト「Internet Explorer」の脆弱性を突いて、ヤフー、アドビ、ダウ・ケミカル、モルガン・スタンレーなど30以上の大企業が標的とされ、様々な形で秘匿すべき情報が搾取された産業スパイ事件と位置付けられている。