ソニー関連会社をめぐるサイバー攻撃について考えてみました。
ご存じのとおり、11月下旬、ソニー傘下の映画会社、
米国ソニー・ピクチャーズ・エンタテインメント(SPE)が、
何者かによるサイバー攻撃を受けました。
同社の内部ネットワークは壊滅的な被害をこうむり、
未公開映画の映像や未発表の台本のほか、
ハリウッドの有名俳優のパスポートの写しや社会保険番号などの個人情報、
社員の給与や住所、メールアドレス、犯罪歴に関する情報、
退職や休職理由に関する医師の診断書など、
ありとあらゆる情報が大量流出しました。
あるネットメディアによると、
流出したデータの情報量は100テラバイトにのぼり、
史上最悪規模のデータ漏えい事件に発展する可能性があるそうです。
また、被害額は1億ドルを超える可能性もあるという。
SPEの2014年3月期の営業利益が約5億ドルですから、
その2割近くが一気に吹っ飛ぶ計算です。
エレキ事業が大不振を極める今日、
SPEはソニーグループの稼ぎ頭ともいえる存在ですからね。
サイバー攻撃は、ソニーが起死回生を図るうえで、
大きな痛手になる可能性は否定できないと思います。
もっとも、単純に考えれば、悪いのはハッカーですから、
“被害者”であるSPEには、同情の余地があります。
ただ、それは、SPEがきちんとした自己防衛策を打っていればこその話です。
キャストやスタッフ、そして顧客の情報を預かる企業として、
きちんとしたセキュリティ対策を取っていないのならば、
“加害者”とみなされても仕方がない。これは情報社会の常識でしょうな。
実際、この数日間の報道を見る限り、
SPEのいささか杜撰な情報管理の実態が明らかになってきました。
例えば、「Password」という名前のフォルダに、
数千件のユーザーネームとパスワードが入れられていたとか、
ファイルには「password list.xls」「YouTube login passwords.xls」など、
内容が一目でわかる名前がつけられていたとか、
情報を守るという視点がまったくもって欠如している。
いってみれば、ドアにカギをかけずに、いや、
ドアを開けっぱなしにしておいて、強盗に襲われたようなもんですわ。
強盗が悪いのは確かですが、身を守る努力すら怠っている人が、
胸を張って文句をいえるか、というハナシですわね。
今回のサイバー攻撃の全容はまだまだ見えてきませんが、
この事件は、ソニーにとって致命傷になりかねないと思います。
ソニーがサイバー攻撃の餌食になったのは、今回が一度目ではないからです。
まだ記憶に新しいところですが、
ソニーは、2011年4月にも、ハッカー集団「アノニマス」による、
プレイステーションネットワークの個人情報流出事件に巻き込まれました。
同事件では、約7700万人の顧客情報が盗まれ、
約1カ月半にわたるサービス停止を余儀なくされました。
その間、ユーザーへの補償をめぐる態度を二転三転させたり、
幹部が米下院エネルギー・商業委員会小委員会の公聴会を欠席して
社会的な非難を浴びたりと、対応は後手後手かつボロボロ。
いくら「アノニマス」が天才的なハッカー集団だからといって、
ユーザーの情報を守れず、ろくな事後対応もとれない会社に
情報ネットワークビジネスにかかわる資格があるのかどうか、
疑問を持った人は少なくなかったはずです。
残念ながら、SPEの情報管理の甘さを見る限り、
ソニーが、過去の失敗を教訓として生かしているとはいいがたいですよね。
もう、ハッカーのせいにしてばかりではいられません。
今後、対応を一歩でも誤れば、
経営陣のマネジメント能力が問われる事態に発展するのは避けられないでしょう。
それどころか、ユーザーの信頼をこれ以上失うようなことがあれば、
本当に存亡の危機になりかねません。ソニーは、正念場ですね。