夏の祭典も終わってひと段落したので、ちょっと真面目に毒を吐いてみる。
カカクコム事件のその後のお話。
自分が見て、何より呆れたのはやはり企業トップの暴言でした。遠藤氏の発言は、ほぼすべて「自分達は悪くない(被害者である)」が前提で話をされています。天災たる震災被害と、人災たるセキュリティ事故はそもそも意味合いがまったく異なるという事を理解されていないと思います。
確かに企業として「責任問題がどこにあるのか」がわからない状態では、自社の責任を認める事は不利益でしか無いので、それはある意味仕方の無い事だと思います。ただ、その被害を被った人に対するしっかりとした説明や経緯を明らかにしないのは、非を認める以前の問題で企業責任を果たしていないと感じます。そして、未だカカクコムはどういった手法で脆弱性を付かれたのか明らかにされていないです。
サイバーテロというのは過去にあまり起きていないと文中にありますが、DHC事件やソフトバンク事件が起こっているのを氏はご存知では無いのだろうか?あれらも、特に後者のソフトバンクの件は、個人情報ワンコイン謝罪として悪名を残していますが、それらから何も得る事はできなかったのだろうかと思います。
色々な場所からお話を聞くと、SQL-Injection + 何らかの脆弱性を付かれて入られたでファイナルアンサーっぽいのですが・・・ひとつ経験則でお話をさせていただきます。
自分が勤めていた某社でも、SQL-Injectionによりユーザー情報が消されるといったトラブルが発生していました。これは私が管理しているサーバで発生しており、同僚のプログラム部分に脆弱性が存在していた事が発覚しました。
サービス自体はプレリリースでしたが、取引先に与えたダメージは大きく自分の会社のすべてのサービスに疑問を持たれたようでした。その後の事情説明や対応、それらをすべて文章化してお客様にご納得していただけるまで対応が続きました。その後正式サービスとなり、今でもご利用をいただけているので信頼は回復できたかと思われますが、当時を振り返ると今でも戦々恐々とします。
当時の対応として思い出されるのは、お客様に納得していただけるまで説明したという事ですね。勿論、プログラムの修正やサーバ側の対応をするのは当たり前です。それよりもまず、起こってしまった事の説明、そして次にどういう理由でこのような事態を引き起こしたのかという事を伝える事、それが結果として企業責任を果たす事にも繋がるのではないでしょうか?
それを言い訳がましく、自分は悪くないという立場で満足に説明すらできないのでは、人は離れていくのではありませんか?他に競合がいないから、その立場に胡坐をかいていませんか? もう一度原点に立ち戻り、自分達を見つめ直す機会を持って欲しいと思います。当初は、「こんなサイトがあったら、みんな便利だよね」と言う立場で始めたはず。それがいつのまにか大きくなってしまい、中身が成長するより早く会社が大きくなってしまった結果・・・だと思います。
どちらかのサイトでISPの立場で書かれてみては?と的外れな意見がありましたが、私のようなISPの立場から見ても、あの無責任発言は許容の範囲を超えています。特に知人が震災の被害にあっているので、こんな無責任な会社の社長と一緒にして欲しくないと強く思います。