いちばん最後に残る 泣けないわびしさ・・・
〜タイトル「誰にも知られずに」下田逸郎
価格.com事件で、「過失はなかった,手口は公表しない」という
カカクコム効果について、Blog「週刊!木村剛」の記事を思い出
しました。
最初の記者会見で断言
「社内調査で、当社に不正な事実や過失はなかった」
↓
隠していた諸々の問題が次々と表面化
↓
「社内にコンプライアンス委員会を設置して法令順守を徹底してきた
が、十分でなかった」
↓
1) 不祥事が発覚したことに対して、当局や業界団体が、お題目ばか
りの実態や実務を無視したキレイゴトのルールを策定
2) 新組織を立ち上げたりしてルールを遵守するフリをするのだが、
腹の中では「人の噂も75日」を決込む
↓
3)結局、実効性がない対応に終わるため、同様の不祥事が再び発生
4)世論の批判に迎合するかたちで、死刑宣告のような厳しい罰則ル
ールを導入
5)ところが、現実的には厳しい罰則を適用する腹が定まっていない
ため、再び遵守するフリをするだけに終わる
6)最後は、同じような不祥事が発生し、当該企業の経営者が退陣す
ることで幕引きとなる
【価格.com事件の教訓】
ネット企業に望まれる「緊急事態への準備及び対応」
・OS、Webアプリケーションも含めた脆弱性を確認
・不必要なサービスは提供しない
・サーバーの監視(ネットワーク状況・ログ)を強化
・異変レベルを設定
・異変レベルに合わせた緊急連絡網の設置(社内→社外への通報)
・異変レベル合わせた情報公開の策定
・異変レベルに合わせたWeb閉鎖措置
別サーバーを用意しておき、異変が発生したら、直ちにWeb
を閉鎖して「しばらくお待ち下さい」などのお知らせ
・Web閉鎖してから解析や修復
・不正アクセス →警察、IPA届出
・未知ウィルス発見→主要ウィルス対策ソフト会社、警察、IPA届出
・異変レベルに合わせた緊急事態発生の訓練を定期的に実施
・訓練後、緊急事態への準備及び対応への見直し作業を実施
・緊急事態への準備及び対応を定期内部監査
・外部機関によるセキュリティー監査
・Web公表・記者会見の準備
<a href="https://www.netsecurity.ne.jp/1_2937.html">
大手サイトの「4つのやりません宣言」 NetSecurity
</A>