Scribble at 2024-07-07 10:01:25 Last modified: 2024-07-07 10:16:01

企業で情報セキュリティのマネジメントに従事して20年近くを過ごしているが、寡聞にして「日本ハッカー協会」なんて聞いたこともなかった。もちろん、この手の団体や研究者や企業というのは、それこそ個人が名乗っているものから大手まで数多くあり、いくら情報セキュリティの実務家とは言っても、それらをなんでもかんでも知っている責任や義務などないわけだが、それにしても大きな話題についての少数意見を述べる役回りとしてマスメディアに使われているだけの何かがあるのだろう。

こうした団体を、僕らのような実務家でも知らないというのは、もちろん僕の調査不足や勉強不足もあるにはあるが、他にも不可抗力と言っていい事情がある。まず第一に、こういう団体は業界組織でもあったりすることがあるため、いわゆる宣伝活動をしていないことがあり、特殊な検索でもしない限りは他のサイトからリンクもされておらず見つけようがないという場合がある。企業でも、特定の業界や特定の顧客だけを相手にしている固定営業で食えているような会社だと、そもそもコーポレート・サイトどころか社員が名刺すら作っていない場合だってあるのだ。そして第二に、僕が何度か指摘しているように、情報セキュリティ大学院大学のように業績を殆ど公にしない（それでも運営していける）という特殊な財務で運営されている組織というものがあり、特にアウトリーチや情報公開をしないという方針があると、検索でも殆ど見つけられない場合がある。特に、日本ハッカー協会は2018年の設立と新しい団体であるため、サイトを見ても殆ど一般のパソコン・ユーザどころか僕らのような情報セキュリティの実務家から言っても、何か利用価値のある情報というものがない。わずかにブログ記事として活動報告のようなものはあるが、簡単に言えば「都内の業者の互助会」といった実態がうかがえる。したがって、都内の大学でコンピュータ・サイエンスを専攻する大学院生ですら、殆ど知らない団体だろうと思う。

そして、やはり難しいなと思うのは、当然ながら公式サイトには「ハッカー」という言葉の正しい意味が解説されているものの、日曜プログラマなどお呼びじゃないというのが実態のようであり、代表者や理事の名前は並んでいるものの、実質的には都内の情報セキュリティ関連企業と IT ゼネコンと官僚の、上場企業案件や公共事業案件を取り囲む、いつもの茶飲みクラブであろう。実際、情報セキュリティ大学院大学についても同様だが、いったい何の公的な業績があるのかまるで分からない。そういうものが一つでもない限り、公に意見を述べる資格なんて僕はないと思うがね。僕は、何度も言っているが逃げも隠れもしない「権威主義者」なので、僕らが尊重し従うべき権威というものを許容している。そして、その資格がないものは簒奪と見做して（比喩的にだが）首をへし折る権利が僕らにはあると思っているので、こうして相手が大学院大学であろうと大企業のお歴々が集まる組織であろうと、哲学者の名において堂々と批判したり、たいていは罵倒しているのである。そして、認めるべきと思う権威については、大学であろうと業界団体であろうと個人であろうと、もちろん称賛もするし、業績を当サイトで紹介することだってある。

さてでは、上の記事で取り上げられている KADOKAWA の事例についてはともかくとして、企業で情報セキュリティのマネジメントを預かる者として、一般論と個別の議論（つまり弊社についての議論）とを述べておく。

まず、一般論としてランサムウェアに感染して人質として情報資産を奪われた場合に、相手へ身代金を渡すべきかどうかについては、僕は一般論としては「渡すべきではない」という意見を支持する。その最も強い理由は、身代金を渡したとして相手が誠実に対応する保証などないからだ。相手は、簡単に言えば犯罪者であって、どうして誠実に振る舞うと期待できるのか。何か、下町でほそぼそと暮らしている気の良い正義漢のヤクザが登場する漫画の読みすぎではないのかという気がする（ちなみに Google IME は「せいぎかん」で「正義漢」が出ない。まだまだ日本語の用例データ不足だな）。身代金を渡してもどうなるのか分からないというリスクがあるのに、そこへ会社の資金を投じることは、リスク低減の対策だとステークホルダを説得することは難しい。寧ろ、情報を奪われたことは認めて、その末にいろいろな情報が開示されて問題が起きた場合の対応を迅速かつ誠実に行うことが求められると思う。はっきり言えば、奪われたものはどうしようもないのだ。それで経営者が社内に愛人を３人もつくってることがバレたり、未成年のアイドルや若手人気俳優が隠れてアダルト・サイトの会員になってることがバレたりしても、その始末をきちんとするという方にリソースを向けるべきであって、それがなかったことであるかのように済ませるなんてことはできない。そして、再び同様の被害が起きないように何ができるかを考えて対策をとるべきである。

よって、僕はこの日本ハッカー協会とかいう団体の発言にわざわざ似せて言わせてもらうが、「重要なのは影響を最小限に抑え、関連する当事者を誠実にフォローすること。軽々に『払え』とひとごとのように言うべきではない」と判断している。そして、個別の事例として弊社がもし被害を受けたとしても、僕は役員会に対して「身代金を払うべきではない」と進言する。そもそも、最近では中小企業でも億単位の身代金を要求されるわけで、保険にでも入っていない限りは、億どころか数千万円でも要求されたら、たいていの中小企業なんて財務的には事業継続不能となる。つまり、冒頭でも述べたように、この日本ハッカー協会のコメントがいみじくも「株主」という言葉を出していることでも分かることだが、いまや中小企業の被害が多くを占めるというのに、上場企業のことしか考えていないのだ（もちろん中小企業にも会社法上の「社員」にあたる株主はいるが、それはたいてい取締役である）。だからこそ、さきほども「都内の情報セキュリティ関連企業と IT ゼネコンと官僚の、上場企業案件や公共事業案件を取り囲む、いつもの茶飲みクラブ」だと言ったのであって、その理由がこういう発言にも見いだせる。そして、僕のようにまさしく中小企業で情報セキュリティの実務家として働き、役職者として会社の財務状況も把握している者からすれば、身代金を払うなんて選択肢は中小企業にはないのである。