[PR]

 日本の社会インフラを担う企業がサイバー攻撃を受けた。教訓を生かし、さらなる攻撃に備えるためにも、事実関係の解明と情報共有を急ぐべきだ。

 三菱電機は先週、同社のネットワークが不正アクセスを受けたと発表した。社内調査の結果、従業員や退職者、採用応募者ら約8千人の個人情報や、技術や営業に関する企業機密が流出した可能性があるという。

 一方で、「防衛・電力・鉄道などに関する機微な情報や、取引先にかかわる重要情報は流出していないことを確認済み」と説明している。

 利用しているウイルス対策システムに弱点があり、修正プログラムが公開される前に、そこをつかれた、という。中国系のサイバー攻撃集団が関与した可能性があるとみられている。

 国境を越えてつながるネット空間では、情報を盗み取ったり、システムを機能不全に陥れたりするサイバー攻撃への対策が、大きな課題になっている。国民生活や安全保障に影響を与えかねず、個別企業での対応には限界もある。関係機関と情報を共有し、対策を練ることが必要だ。対応が不十分だと、各国との連携も滞りかねない。

 政府の内閣サイバーセキュリティセンターや経済産業省は様々な指針を示してきたが、それでも今回のような事態が起きた。中小企業を含め、幅広く攻撃対象になる可能性があり、国全体で対策の充実に取り組まねばならない。

 三菱電機はサイバーセキュリティーのシステムを提供する事業も手がけており、その企業が攻撃対象になった意味は大きい。攻撃側は、今回の攻撃で盗み取った情報をもとに、取引先や関係先を次の標的にする「サプライチェーン攻撃」を仕掛ける可能性もある。

 そうした視点でみたとき、攻撃を受けた後の三菱電機の対応には疑問が残る。

 異変を最初に認識したのは昨年6月下旬で、防衛装備庁には昨夏に連絡したとされる。しかし、経産省や個人情報保護委員会への連絡は半年余り後の今月に入ってからだった。情報が流出した可能性がある社外の個人への連絡を始めたのは、朝日新聞の報道を受けて事態を公表した後だ。

 事態の把握に一定の時間がかかるにせよ、攻撃拡大を防ぐうえで連絡の遅れは問題だ。梶山弘志経産相も「早急に報告すべきだった」と指摘している。

 また、個人情報を取得、保有している以上、企業としてそれを保護する責任は重い。より速やかな対応が必要だったはずだ。関係機関は経緯を検証し、必要な改善を促すべきだ。

こんなニュースも