〜タイトル「誰にも知られずに」下田逸郎

価格．ｃｏｍ事件で、「過失はなかった，手口は公表しない」という
カカクコム効果について、Ｂｌｏｇ「週刊！木村剛」の記事を思い出
しました。
最初の記者会見で断言
「社内調査で、当社に不正な事実や過失はなかった」
　　　　　　　　　↓
隠していた諸々の問題が次々と表面化
　　　　　　　　　↓
「社内にコンプライアンス委員会を設置して法令順守を徹底してきた
　が、十分でなかった」
　　　　　　　　　↓
１） 不祥事が発覚したことに対して、当局や業界団体が、お題目ばか
　　 りの実態や実務を無視したキレイゴトのルールを策定
２） 新組織を立ち上げたりしてルールを遵守するフリをするのだが、
　　 腹の中では「人の噂も７５日」を決込む
↓
３）結局、実効性がない対応に終わるため、同様の不祥事が再び発生
４）世論の批判に迎合するかたちで、死刑宣告のような厳しい罰則ル
　　ールを導入
５）ところが、現実的には厳しい罰則を適用する腹が定まっていない
　　ため、再び遵守するフリをするだけに終わる
６）最後は、同じような不祥事が発生し、当該企業の経営者が退陣す
　　ることで幕引きとなる
【価格．ｃｏｍ事件の教訓】
　ネット企業に望まれる「緊急事態への準備及び対応」
　・ＯＳ、Ｗｅｂアプリケーションも含めた脆弱性を確認
　・不必要なサービスは提供しない
　・サーバーの監視（ネットワーク状況・ログ）を強化　
　・異変レベルを設定
　・異変レベルに合わせた緊急連絡網の設置（社内→社外への通報）　
　・異変レベル合わせた情報公開の策定　
　・異変レベルに合わせたＷｅｂ閉鎖措置
　　　別サーバーを用意しておき、異変が発生したら、直ちにＷｅｂ
　　　を閉鎖して「しばらくお待ち下さい」などのお知らせ
　・Ｗｅｂ閉鎖してから解析や修復
　・不正アクセス　　→警察、ＩＰＡ届出
　・未知ウィルス発見→主要ウィルス対策ソフト会社、警察、ＩＰＡ届出
　・異変レベルに合わせた緊急事態発生の訓練を定期的に実施
　・訓練後、緊急事態への準備及び対応への見直し作業を実施　
　・緊急事態への準備及び対応を定期内部監査
・外部機関によるセキュリティー監査
・Ｗｅｂ公表・記者会見の準備

<a href="https://www.netsecurity.ne.jp/1_2937.html">
大手サイトの「４つのやりません宣言」　ＮｅｔＳｅｃｕｒｉｔｙ
</A>