世界中でサイバー攻撃による被害が拡大していることは、よく知られている。ウクライナで大規模停電が起き、一昨年の攻撃よりも昨年の攻撃の方が進化しているという話もある。今年の5月から6月にかけて世界中で、「Wannacry」というランザムウェアが暴れまわった。
攻撃側が次々に新しい手口を考えているのは確かだが、すでに知られている手口を抑えておけばある程度被害を防げる。ではその手口をどう知るかだが、攻撃や被害を受けた企業・団体などからその実態を聞くことが必要である。しかし被害者としては、被害を受けただけでも痛いのにそれを根掘り葉掘り追及されるのも嫌なものだ。あげく個人情報漏洩などが明らかになれば、被害者転じて加害者として糾弾されることにもなりかねない。
したがって被害関連情報は、社会全体としては必要なものだが、被害者としては出しづらいもの。現時点では、被害企業団体の特に経営者に対して情報提供の意識を高めてもらう事から、自主的な情報提供をうながすことが議論の中心である。
一方で重大なインシデントの場合には、強制的な権力でもって情報を出させるべきだと主張する人たちもいる。最近「Cyber WHO」という言葉を某所で聞いた。この意味するところは2つありうる。いずれもサイバー攻撃に対する社会の耐久性を増すために、公衆衛生になぞらえたものだが、
(1)サポートが終わったWindows-XPを使い続けることを止めさせるなど、常識を広めていくこと。例えば「インフルエンザの予防接種をしましょうね」キャンペーンのような行動。
2つは相容れないものにも見えるが、コインの両面とする考え方もある。僕個人としては(1)が本道で(2)の乱用は避けるべきとの考えですが、これから議論が白熱しそうですね。
<初出:2017.11>
