情報セキュリティーは
「企業価値」の重要構成要素だ
KADOKAWAが受けたサイバー攻撃は、ランサムウエアという手口のものだ。データを暗号化して見えないようにしたり、動作不能にしたりした後、状態を回復するために身代金を要求する。
良くも悪くもそれに備えるための損害保険までが用意されているため、企業側も容易に身代金を払ってしまう。かくして、反社会勢力にとっては比較的容易かつ安全に資金獲得ができる手段として、ランサムウエアは世界的に流行している。
KADOKAWAの事例から第一に学ぶべきことは、今日、企業価値というものは、高い競争力の事業だけでなく、それを取り巻く何重もの“防護膜”によってできあがっているということだ。つまり、事業そのものだけでなく、情報セキュリティーをはじめとする事業のサステナビリティーを高める取り組みの重要性が、過去に例を見ないほどに高まっているということである。すばらしい事業はそれだけでは成り立たない。それを維持していくことができる仕組みづくりが、重要な鍵を握る。
筆者作成拡大画像表示
身代金支払いに応じるべきか
最善の選択は?
そしてもう一つ学ぶべきなのは、犯罪集団から身代金を要求された際の基本的なベストチョイスは、「毅然として要求をはねつける」ということだ。
KADOKAWAへの攻撃について犯行声明を行ったハッカー集団は、同社と身代金交渉を行ったことをほのめかした。今回、実際支払いがあったか否かは明らかになっていないが、海外では支払いに応じるケースも少なくないという。
ただ、先述の通り、最善の選択は支払わないことだと筆者は考える。
1970年代までは世界中で頻発していた飛行機のハイジャックは、現代ではほとんど起こらなくなった。その理由は、1978年に採択された「航空機ハイジャックに関する声明(ボン声明)」である。航空機ハイジャックの要求には決して応じず、徹底的に鎮圧することが、世界の主要国間で決議された。その結果、ハイジャックはリターンの可能性が限りなく低く、リスクの大きな行為であるとして、避けられるようになった。
日本企業のランサムウエア被害が諸外国に比べて少ないのも、実はまったく同じ構造にある。日本企業はこれまで、諸外国と比較して、ランサムウエアによる身代金要求にあまり応じてこなかった。反社会勢力に資金提供することが、どのような事情においても法律に違反することになるほか、社会規範としても忌避されるためである(皆さんも「そもそもメールを開くな」と会社から指導されているはずだ)。
また、日本は災害多発国であることから、バックアップを取る文化があり、仮にデータが暗号化されても復旧することができるのが一般的となっていることも大きい。
日本企業が交渉のテーブルに着かないことは、世界の反社会ハッカー集団に広く知られていた。組織的な犯罪を抑止するには、犯罪行為のリターンを限りなく小さくすることが効果的だ。これは、社会学・政治学・経済学などで広く知られている事実だ。
