例のKADOKAWAの情報漏洩事件について、先日影響が発表された。
KADOKAWA、サイバー攻撃で36億円の特別損失計上 影響額を公表
これによると、特損36億円を計上したらしい。売上高の影響は84億円の見込み。
KADOKAWAほどの規模の会社が、あれだけやらかして36億円なんだなぁ……というのが第一印象だった。まぁ手痛いといえば手痛いだろうが。でも相変わらず黒字だしな。しかし日本のネット史上最悪レベルの個人情報漏洩事件を起こしてこれなのかと思った。個人情報どころか社内情報も漏れまくりだったみたいだし。
大きな問題はなさそう?
もちろん特損だけが被害では無いのだが、他のファクタもさほど大きな被害があったように思えない。むしろ思うところがあるのはこっちかな。
肝心要の株価は、6月頃に比べると落ちているが、日本株全体が沈んでいる状況なので、取り立てて落ちているというわけではなく、むしろ粘っている感すらある。少なくとも7月時点とはそんなに変わらない。
出来高を見れば事件のあった頃に集中しているのがわかるが、言うほど落ち込んでいるとは言えない。
つまり、株主は大した問題ではないと見做したといえる。Yahoファイナンスの掲示板では戸惑っている人も多いが、価に反映されていない以上投資家全体の判断としては、今のところ大勢として問題なし、だろう。
評判も、あまり問題なさそうだ。SNSではニコニコ復活してよかった、KADOKAWA頑張れ、という人が圧倒的に多い。
エンジニアの間ではKADOKAWAのセキュリティはどうなっているんだと、それなりに厳しい目も向ける人もいるが、基本的には「なぜ、どうやって起きたのか」について関心があるだろう。まぁその全貌がよくわからないところに悶々としている人はけっこういるんじゃないかと思うが、たいていのエンジニアは物わかりがよいし、火中の栗には近寄らない人種であるから、あまり絡みたくないというのが本音かもしれない。技術的興味で変につっつくと、ハッカーを擁護するのかとか意味不明なこと言われそうだし。
なんにせよ全般的には同情と応援が多い。サイバー攻撃については、「やられること自体が恥」という気持ちが技術者の間にはあると思うんだが、世間的には必ずしもそうではないらしい。
サービスも復活の兆しを見せている。正直あれだけのことをやらかしたサービスを続けられるものなのか?と思っていたが、基本的にはみんな「復活してよかった」であるらしい。
今回に限って行政も随分と大人しい気がするのは、KADOKAWAと政治家の繋がりがあるからと思うのは穿ち過ぎですかそうですか。でもなんかKADOKAWA関係、メディアも全体的に配慮しているような印象なんだよな。特損もサイバー攻撃関連で36億円計上してるのに、見出しは他と合わせて25年1Q全体の20億円にしているところあるし。「サイバー攻撃で特損20億円計上」の見出しだしてるところとか、間違いとは言わないけど誤解招くよな。
セキュリティリスクとはいったい
総合して感じたのは、「悪いのはハッカー」ということであり、まぁそりゃそうなんだが、前述したようにエンジニア的には「やられる方もタコだったんじゃないの?」という気持ちがある。日々エンジニアは「セキュリティは問題ないのか」と詰められているし、新しいことをやろうとした時には「セキュリティガー」と現状維持派に抵抗されることままあるが、それは「防衛できないのも問題」という意識があるからと思う。お婆ちゃんが一人で運営している駄菓子屋じゃないんだから、サービスにはそれなりに責任も伴うはずだ。
実際本当の被害者は個人情報を漏洩されたユーザであって、ユーザ観点では、KADOKAWAは守るべきものを守れなかった運営者である。その発端がハッカーだったとしても、KADOKAWAのセキュリティに問題はなかったのか?は当然問題視されるべきことだろう。
なので、セキュリティリスクというのは非常に重要とされ、日々あれこれとエンジニアは勉強しているわけだ(人によるだろうがセキュリティは基本的にだいたいみんなイヤイヤやっていると思う)。で、今回の事件はそのセキュリティリスクが顕在化した事例と言えると思うが、正直想像よりも低いものだった。
まぁ結局、みんな個人情報についてはさほど重視していない、ということかもしれない。実際、ビッグテックへのカウンターとして「我々はプライバシーを重視しています」という標語のサービスはちょくちょくあるが、それらが流行ったものは聞いたことがない。
プライバシーの問題は批判の言葉ややらない理由として便利だから使われやすいというだけで、実のところ、みんなけっこうどうでもいいと思っていた、ということなのだろうか。
時代の変化もある
まぁ社会の潮流の変化もあるとは思う。流出した情報をいたずら半分で拡散する輩に対して厳しい目が向けられるようになったし、また法的措置を講じられることもある。まぁKADOKAWAが脅し回っていたのは正直おまいうではあったが、実際拡散防止に対してそれなりに効果があったのでは。
匿名掲示板が廃れてSNSが主流になったことで、みんな白い目を向けられることを行うのは憚られるようになったのかもしれないし、インターネットをする人たちの層の変化もあるだろう。20年前と比べた時、一般的な人の割合が増えたので、感覚も一般的になったといえばいいのか。
まぁ測れるものではないから完全に憶測ではあるのだけれど、時代の変化はあるよな、と20年来のインターネットユーザとしては実感として感じる。20年前だったら祭り状態になり、2chあたり面白半分で流されまくっていただろうな。コピペ100個くらいできてそう。漏洩した人に凸する馬鹿もいそう。当たり前だけど、今はもうそれ許されんからな。
2度目はないにせよ
まぁそうは言っても、もしまた同じ事が起きたら、さすがに世間の目も同情から変わることもあるだろう。KADOKAWAもさすがに次はないという姿勢で社内改革をしている……と思うけどどうなんだろうね。体質ってそう簡単に変わらないしな。
でも、一度狙われてコテンパンにやられている以上、他の企業よりも狙われる可能性は段違いで上がっているだろうし、かつ2回目となるとレピュテーションのリスクも大きなものとなるから、セキュリティリスクは確かに上がっているはずで、となれば経済的な観点からも抜本的に対策するべき以外の答えはでないはず。こういうのは結局最後組織体制に行き着くものなので、イチから組織体制を作り直して技術を重視するように頑張ったら、技術的には良かったということになるかもしれない。
まぁ被害を受けた人からすればたまったものではないし、訴訟がこれから起きる可能性もあるので、まだ終わったわけではないのだが、誰よりも正直な株価を見れば、全体として問題ないんじゃないの?と思われていると察せられる。
セキュリティリスクは実際どれくらいなのか
ここまでつらつらと所感を書いてきたが、つまり何を言いたいかと言うと、セキュリティリスクを高く見積もり過ぎていたのだろうか、ということだ。
個人情報の漏洩はサービスが飛んでもおかしくないくらいの気持ちでいたが、今回の騒動を見るとどう考えてもそんな大層なものではない。まぁクレカ情報だけはちょっと扱いが変わると思うが、逆に言うとそれくらいだ。まぁ実際、個人情報漏洩で消えたサービスって、言われてみると思い浮かばない(ショボい金券配った企業は知ってる)。
もし、セキュリティリスクを高く見積もっていたのだとすれば、それは何故だろうと思う。まぁ多分、どこにいってもセキュリティセキュリティと言われるのはあるよな。法的には個人情報保護法やGDPRがあり、それが開発に影響している。技術的にも、昨今はSSH一つつかうのも何かとうるさかったりする。
それでちょっと思ったのは、エンジニアにとっても、セキュリティって仕事を作りやすいんだよな、ということだった。永遠に仕事ができる。成果が出なくても「何も起きないのが成果」と言い張れる。技術的にもちょっと高度だったりするし。永遠に頑張れる。スポンサーがいればね。
つまり、実態として現代のピラミッド建設なんじゃないか、とちょっと思うんだよな。今風に言えばブルシットジョブ。防衛など言うまでもなくセキュリティが非常に重要な分野は確かにあるんだが、そんな分野はむしろ少ないわけで。結局、エライ人たちが仕事してる感を出すためにひたすら高く見積もるよう仕向けていたのでは?とかね。
そんなことになるのも、セキュリティリスクは定量化が難しいからなんだが、今回のKADOKAWA事件は、良くも悪くもセキュリティリスクの定量化に繋がる事件だと思うので、有限のリソースをどう配分するかというシビアな問題においては、参考になるだろう。
セキュリティは大事なのはそう
一方でセキュリティ自体はやはり大事なのはそう。攻撃成功されて良いことなど、サービスにとって一つもない。技術者としても沽券に関わる。KADOKAWAはやっぱりちょっとコテンパンにやられすぎだし。ニコニコみたいな日本有数の動画プラットフォームを運営しているのだから、技術的にも気張ってほしかった。
やるべきことはやらないといけない。でもやらなくていいことも、思っていたよりありそう。
まとめ
長くなったのでまとめ。
- 特損、株価、評判を見て、KADOKAWAの被害は思っていたほどではなさそう
- 時代は変わり、「やられる方が悪い」という思想は影を潜めた
- 個人情報や企業情報の漏洩の被害についても、見積と実態に乖離があるのでは
- セキュリティリスク再考。今回の件は定量的に考えるうえで大いに参考になる
- セキュリティは重要だが、永遠に(無駄に)頑張れるものでもある。ぶっちゃけブルシットジョブあるよな?
- 本当にやるべきことはやれ
コメント