アサヒグループホールディングス(以下、アサヒGH)が9月29日にサイバー攻撃を受けたことを発表してから2カ月以上がたったが、いまだにシステムは正常に稼働していない様子だ。11月27日に行われた勝木淳志社長による記者会見では、物流が正常化するのは来年2月ということだ。
少ない対外発表情報
この会見は、今回のサイバー攻撃に関する対外発表の第4報になる。
サイバー攻撃に関する対外発表で、多くの人が期待するのは「我が社のシステムは大丈夫か」という不安に応えることだ。欲しいのは被害の端緒となった事象や原因についての説明だろう。
アサヒGHの発表はこれに応えていない。アサヒGHにはGlobal Head of IT and Transformationという肩書を与えられた執行役員がいるようだ。この執行役員がITの統括責任者として、社長に代わって説明すべきだったと思うが、記者会見の席上にその姿はなかった。アサヒGHとしてのガバナンスが問われる。
ほとんど技術的な説明のない第4報だが、かろうじて明らかになったのは、グループ企業の拠点の一つにあるネットワーク機器から侵入されたということだ。近年の類似事案では、VPN(Virtual Private Network: 仮想専用ネットワーク)機器の脆弱性が多く利用されていることから、おそらく同様の侵入を許してしまったと思われる。だとすれば、どこのベンダーの、どのバージョンが使用されていたのかを公表すべきだ。
ベンダーに気を遣ってのことかも知れないが、脆弱性に対処するためのアップデートはユーザーの責任で実施すべきものとすることが一般的な状況では、ベンダーに気を遣う必要もないだろう。類似事案の防止につながるはずだ。
