不正アクセスと企業の責任

3月 25th, 2005 Categories: コンピュータ及び科学全般ネタ

ある企業のウェブサイトに、不正アクセスされる可能性(セキュリティーホール)が発見された。発見した河合氏が再三の警告を行ったにもかかわらず、このセキュリティーホールは修正されなかった。このような企業は、自己の情報を守るという責任を放棄しているのだと思われる。

そこ後、河合氏はセキュリティーに関するイベント中に、出席者の前で自らこの企業サイトへ不正アクセスのデモンストレーションを行って逮捕された。東京地裁から出た今日の判決で、河合氏に有罪判決が言い渡された。

私は河合氏を庇うつもりはない。パスワードで保護されていない情報だから不正アクセスにはならないとする理屈は詭弁だと思う。ドアに鍵のかかっていないオフィスだから、だれでも勝手に入って、その辺の棚にあるファイルを見てもよいという理屈はないと思う。

ところで、このような場合における企業側の責任はどうだろうか。

顧客のプライバシー情報や企業秘密を守る責任は、企業自身にある。セキュリティーホールが明らかであると知っているのに、それへの対策を速やかに行わないという事は、いずれだれかが不正アクセスするだろうという事が予見され得るにもかかわらず、迅速な対策(サイトを閉鎖するとか、セキュリティーホールを修復するとか)を行わないという事だ。

そのような企業は、自ら内部の情報を守る責任を遺棄したと言われてもやむ得ないと思う。

原因がはっきりしている場合、セキュリティーホールを修復する方法はいくらでもある。セキュリティーホールの有無が不明な場合でも、きちとしたネットワークコンサルタントを雇えば、いろいろなレベルで対応できるはずだ。あとは予算と意思の問題だと思う。

であるからして、既知のセキュリティーホールによる不正アクセスの罪は、それを放置した企業の管理者にも責任を問うべきであろう。

Facebook Comments
Tags:
Comments are closed.