夏野剛氏がKADOKAWAランサム攻撃事件の当時に言及──他人事じゃないセキュリティのあれこれを語る

KADOKAWAは「身代金を支払ったほうが安く済んだ」けど……

夏野氏：次は経営者の視点からになりますが、先ほど申し上げたとおり、もうサイバー攻撃は「防げない」という時代になりました。もちろんテクノロジーでやれることはやりますが、経営的には「発生したときにどうするか」を考えなければなりません。これ、米国とかの経営者はどう考えているのでしょう？

中島氏：やはり経営の視点では、技術的に何か考えるよりは会社のポリシーをいかに決めておくかが重視されていますね。ランサムウェアの被害に遭った際、どう対処するのか。取締役レベルで策定することは必須の状況になっています。

夏野氏：やはりそうですよね。テクニカルな施策をどんなに用意しても隙は絶対にあるはずで、その隙を突かれたときの対応は考えておかねばならないと。

　もうこの際だから言いますが、たとえば私の場合、身代金を支払ったほうが安く済みました。もちろん、世間やメディアは「支払っちゃダメだ」という声が多いことも知っています。ただ、経済合理性の観点から考えると、あるいは経営者としてリスクを最小限に抑えることを考えると、身代金を支払う選択肢にも十分な合理性があるという話になってしまうんです。

　もちろん、攻撃者側は「この会社からだったら、このくらい（金を）獲れそうだ」と計算しているという話も聞きますので、本当に判断は難しいところですね。この話題についてはこれ以上話しませんが……（笑）。ただ、やはりお花畑的な話だけじゃなくて、現実問題としてどうすべきかは組織の中で普段から議論しなければならないと思います。

中島氏：昔、日本で総会屋事件（※）があったとき、日本政府は最終的に「総会屋に金銭を支払うのは違法」という法律をつくりましたよね。同じように、ランサムウェア攻撃とともに身代金要求があった際、支払ったら違法という法律はつくれますかね。

夏野氏：私個人の考えでは、日本ではその選択肢もありなんじゃないかと。法律で支払いが違法だとされれば、どう転んでも企業は支払えません。そうすれば、攻撃者から見ても「日本企業は身代金を支払わない（＝獲れない）」となるわけで。特に上場企業は、どう頑張っても公の目から逃れて支払うなんてことはできませんからね。抑止力になる可能性はあります。

　一方で、昔に比べてサイバー攻撃のコストが圧倒的に安くなりましたから、身代金が獲れなくても無差別に攻撃し続けるという可能性も十分にあります。今度、安野さん（安野貴博氏）にどう思うか聞いてみようかな。