あるグローバル企業のネットワークでは、ウィルス検知やアタック検知などのインシデントが、グループ全体で1日平均、1200万件に上るそうだ。1日平均である。1200万件である。耳を疑う数字だ。もちろんこの企業ではネットワークを守る管理システムを構築してあるので、ほとんどのインシデントはいくつかの層でシステムが自動的に補足し、処理をする。それでもシステム側のこれまでの知見では処理しきれないインシデントが、残り、1日平均で7件ほどは、熟練の技術者が直接に解析して対応せざるを得ないのだそうだ。

セキュリティレベルが世界最高水準の企業でもこういう状況である。

問題は一般企業ではこうした事実を認識していないことである。情報システム部門ではうすうすと気がついているかもしれない。しかし、恐ろしくて、この事実に直面する勇気が出ないのではないか。もとろん、どの程度の攻撃を受けて、実は情報が漏洩してしまっているか、全部ではないにしろ、その一部は把握することができる。だが、その事実を知ってどうするのか。

仮に、重要な取引データのファイルをコピーされて流出した痕跡があると分かったとして、それを取引先に通知すれば、たいへんな問題に発展する可能性がある。かと言って、知ってしまった以上は、監督官庁に届け出もしなければならない。おそらく膨大な数に上るに違いない取引先に連絡して詫びなければならない。知ってしまえば、そうした連絡をし、陳謝する膨大な作業が待ち構えているかもしない。情報システム担当者として、こんな面倒を抱えるかもしれない調査など、恐ろしくて手を着けられない。

だが、こうして、情報システム担当者がためらっているうちに、さらに情報漏えいが広がっているかもしれない。盗まれた取引相手のデータがさらに悪用されて被害が拡大しているかもしれないのである。

これは一企業の責任を論じていても埒が明かない重大な事態に陥っていると懸念される。セキュリティ対策は根本的なところから手を打たなければならない。事態を隠蔽する、という手前の、事態が分からないという最悪の状況にいる。調査をして判明したことについては免責する、というような猶予期間を設けて、徹底的に社会全体で対策を講じなければいけない段階にきている。そういう恐ろしさを感じるのは、筆者一人の感想だろうか。