不正アクセスや情報漏洩のニュースを見るたび思うこと

ここ1、2年くらいは特に不正アクセスや情報漏洩のニュースを頻繁に見かけるようになりました。

ニュースとして広まりすぎると、模倣犯が出てきて二次被害を招いたり、 過剰な問い合わせや抗議が発生することで、対応をしなきゃいけない現場にはかえって悪影響なんじゃないか。 対応が完了するまでメディアには公表しないのもありなのでは。*1 と最初は考えたりもしたんですが、

  • 被害を受けた人が先にニュースで知ることで対策を取れるケースもありえる
  • システム的な対応についてどうすべきか発言してくれる人が出てくるかも
  • 代償は高くつくけど、結果的にセキュリティの向上にはなる
  • 他の企業やサイトが「うちは大丈夫なのか」考えるきっかけになる
  • 一般ユーザーに対しても注意喚起になる

こう考えると、むしろ騒がれてしまう方がいいのかもしれません。

本来、不正アクセスを働くほうが悪いはずなんだけど、往々にしてシステムや体制上の 不備の方が注目されます。*2 セキュリティが穴だらけなシステムを運用してた方に責任がないとは言いませんが、 かたやユーザー側だって、まだまだ安易なパスワードにしたり、使い回したりしてる人も多かったりするわけです。

犯罪や事故の被害者にならないよう気をつけろと言われても、当事者になるまで「自分は大丈夫」と 考えてしまう*3のが人間で、不正アクセスとか情報漏洩も同じことだよなぁと思います。

*1:もちろん被害を受けた人には早急に伝わるべき

*2:泥棒に入られたのはドア全開にしてる方が悪いみたいな

*3:僕自身もそうです