昨日に続いてアダストリアの件。1/24の第2報を読んでいて少し気になったことを追記します。第2報の中の、原因究明とその後の安全対策に関する記述に関してです。
ちょっと矛盾した書きぶり
第2報の中で書かれている今後の対応について。「引き続き、外部の専門機関と連携し、原因や経路の究明を行う」としています、一方で、「現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しました。休止しているWEBストア「ドットエスティ」についても、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております」としています。
本来は、原因(脆弱だった箇所)や侵入経路を究明し、それが完了したからこそ、安全対策の構築が始まるはずで、ちょっと上記の説明には矛盾を感じました。引き続き原因や経路の究明を行う(まだよく分かっていないことがある?)、としながら安全対策が完了したといってるところです。なぜ不正アクセスを許してしまったかについては、書けなかったためこんな書きぶりになったんでしょうかね。
確かにこういうケースでは、「システムの〇〇に脆弱性があり、これへの対応を怠っていたため、不正なアクセスを許してしまった。」みたいな、他の同様なシステムを持つ企業等への悪影響が考えられるような具体的な話(原因や経路)は開示しないように。といったアドバイスを専門家や警察から受けている可能性はあるかもしれません。
であれば、「原因や経路等についての究明は完了しておりますが、他の企業等への影響を考慮し、開示は控えさせていただきます」、みたいな書き方はあったと思うんですけどね。