――実際にサイバー犯罪による被害を受けた場合、企業の経営者としてはどう対処すべきでしょうか。
企業が攻撃を受けた場合、企業としての評価や顧客の信頼を失うことを恐れるあまり、攻撃の事実を隠してしまおうとする経営者が少なくありません。ただし企業が攻撃を受けた事実を公開することは、その企業の透明性を高めることにつながります。
また攻撃を受けたことを認めることで、自ら問題を改善する意図があると外部に示すことができます。これはむしろ、信頼の獲得につながる行為です。それにもし、攻撃者によって犯行声明という形で攻撃の事実が先に発表されてしまったらどうなるでしょうか? 顧客は事実を隠蔽しようとした企業に、かえって不信感を抱くことでしょう。
攻撃を受けたことを公開し、共有することが
被害を防ぐ最善の防衛策になる
――サイバー攻撃を受けた場合は、迅速にその事実を開示した方が、企業に対する信頼度を増すことにつながるということですね。
その通りです。そして何より、攻撃情報を共有することで対策ができ、同様の被害が他に及ぶことを未然に防ぐことができます。
ここでみなさんに、我々の経験についてお話ししましょう。
2015年春、当社は未発見の脆弱性(ソフトウェアの不具合を原因とした弱点)をついたサイバー攻撃により、ネットワークへの不正侵入を受けました。この原因は当社製品ではなく、当社が使用していたマイクロソフト製品の未発見の脆弱性を突いた侵入で、当社だけでなく他社も攻撃されていました。そのため、マイクロソフト側の対策が行われるまで、公表はできない状態でした。
言うまでもなく、セキュリティ企業においては顧客からの信頼が絶対です。クライアントの方々は、セキュリティ企業による保護が完璧だと思うからこそ仕事を依頼するわけですから。
我々はこれまで、他の企業に対して「サイバー攻撃を受けたら、その事実を開示すること」を主張してきましたが、皮肉にも自分たちがどうするか迫られたわけです。私自身も、会社が無くなってしまうのではないかと不安に思いました。
しかし我々は、創業者であるユージン・カスペルスキーCEOの確固たる信念のもと、どういった情報が狙われたのかということも含めて、すべての事実を公開すると決めました。この攻撃が当社を含む欧州、中東、アジアの企業を標的にしたものであったこと、狙われていた情報は、開発中の製品に関するテクノロジー、リサーチなどの知財情報だったことなど、攻撃の全貌をニュースリリースとして公表したのです。
この公表によって、当社は脅威情報を自ら公開し、社会に共有するという姿勢を示すことができました。そのことで顧客からのさらなる信頼を得たと同時に、先に述べた通り同様のサイバー攻撃の発生を防止することにもつながったと確信しています。競合のセキュリティベンダーからも、当社の姿勢は高く評価されました。私はカスペルスキーの一員として、この時の対応を誇りに思っています。
国際的規模で実行されるサイバー犯罪を防ぐには、政府と民間企業が協力し合い、攻撃方法を公開して共有し、それを有効活用して対策を講じることが必要です。日本の企業経営者の方々も、もし攻撃を受けたことがわかった際は、勇気をもって公開する決断を下して欲しいですね。