全1541文字
PR

 「セキュリティーの関係で回答を差し控えます」――。

 これは、企業の広報担当者がたびたび口にする言葉だ。不正アクセスなどサイバー攻撃の被害を公表した企業に、記者が原因や手口を問い合わせると、当たり前のようにこの「魔法の言葉」が登場する。

 当然、明かせない部分があるのは重々承知している。ただ大抵の場合、当該企業のリリースには「すでにセキュリティー対策を施しており、今後同様の被害が起こることはない」などと書かれている。

 「すでに対処したのであれば原因についてもう少し補足説明してほしい」と強く問い詰めても「セキュリティーの関係で」(広報)の一点張りで情報を開示しようとしない。

 これは記者が最近、非常に危惧している問題だ。サイバー攻撃の被害についてできるだけ情報を出さないようにする企業が増えているように感じる。

 ご存じの通り、サイバー攻撃の情報共有は個々の組織が対策を考える上で重要なナレッジになる。セキュリティー専門家が口をそろえて情報を共有することの必要性を訴える中、これで済まされてしまうのはあまり思わしくない風潮だ。

積極的に情報を開示した建設会社X

 最近、こういった企業とは対照的な企業を取材する機会があった。建設会社Xとしておく。

 同社は2020年、取引先を装ったメールの添付ファイルを社員が開封してマルウエアに感染し、基幹システムなど社内サーバーの9割以上が暗号化されるという甚大な被害に遭った。

 メールシステムが使えなくなり、本社や全国の支店、200を超える建設現場に1件1件電話して社内ネットワークとパソコンを切り離すよう指示したというドタバタのエピソードに加え、攻撃の詳細な手口、後手に回ったトラブル対応、セキュリティー意識が低かった反省点など、赤裸々に語ってくれた。