サイバーセキュリティの良心に関わる問題
October 10, 2022年10月10日、Mike Vizard
長年サイバーセキュリティ専門家を悩ませてきた倫理的課題の1つは、セキュリティ専門家と雇用主である組織の間には秘匿特権で守られる情報がないことです。その結果、雇用主に対する義務と、多くの人やコミュニティ、あるいは人類の利益との間に矛盾が生じた場合に、サイバーセキュリティ専門家が依拠できる、一般に合意された倫理的手続きが存在しないのです。
この問題は、最近の2つの著名な裁判の核となっています。サイバーセキュリティの専門家コミュニティが一方の側についたことに端を発した事件の裁判です。ひとつは、元Uber最高セキュリティ責任者のジョー・サリバンをめぐる裁判です。サリバンは、「Uberにおける2016年のハッキングの隠蔽工作に関連して、連邦取引委員会の手続きを妨害し、重罪を隠匿」したことで有罪を言い渡されました。
連邦大陪審は政府側の言い分を認め、5万人以上の顧客の個人情報にアクセスされるという侵害を受け、脅迫されたUberが、そのサイバー犯罪者に対して報奨金プログラムを利用して支払ったことを規制当局に開示しなかったことを有罪とみなしたのです。争われた点は、侵害をどう処理したかよりも、侵害を開示しなかったことで上場企業の投資家に対する受託者責任が損なわれたことだったのです。
ふたつ目の裁判は、ピーター・“マッジ”・ザトコが、ハッカーに対する防御とスパム対策における「極めて重大な欠陥」について連邦規制当局と取締役会を欺いたとして、かつての雇用主Twitter社を内部告発したものです。米証券取引委員会、司法省、連邦取引委員会(FTC)に提出された訴状によれば、Twitter社は強固なセキュリティ計画を有していると主張したことで、FTCと11年前に結んだ和解の条件に違反したとしています。
当然ながら、大義のために訴訟を起こしたことに拍手を送る人がいる一方で、SECの内部告発者向けの報奨金目当てではないかと考える人もいます。報奨金が数百万ドルにのぼることもあり、それが訴訟を起こす動機になったと見る批判的な声があるのです。
今後何年にもわたる訴訟合戦が予想され、最終的にどのような判決が下されるかわかりませんが、いずれにせよ、サイバーセキュリティ専門家は特に上場企業で働く場合、その法的責任の範囲をめぐり究極の試練に立たされています。企業評価に重大な影響を与える情報の隠蔽は、過去にも犯罪と見なされてきました。しかしこれまでと大きく異なるのは、データ侵害が株価に影響するため、連邦政府がサイバーセキュリティ専門家に証券取引法の文言を適用している点です。秘密保持契約(NDA)の有無にかかわらず、何であれ連邦規制当局に偽って伝えることは、常に法的な危険をはらんでいるのです。
とはいえ、組織の側は、話したことすべてが訴訟のネタになると恐れたりせず、どのようなレベルのリスクが想定されるのかをサイバーセキュリティ専門家と率直に話し合うべきです。訴訟の恐れがあるとなると経営陣は、サイバーセキュリティの問題をできるだけ議論しないという道を選びがちです。しかしそれでは冷や水を浴びせることになり、関係者全員にとって逆効果となるでしょう。対話のできる安全な場が必要なのです。もちろん、株主が危険にさらされ、サイバーセキュリティのリスクが無視されていても内部告発を行うべきではない、と言っているのではありません。サイバーセキュリティのリスクに直面した場合にどう対処すべきか、その手順を文書化する必要があり、訴訟を起こすのは最後の手段とすべきなのです。
サイバーセキュリティの専門家のなかには、株主に対してそのようなレベルの義務を負わなくて済む非公開企業で働くほうがよいという結論を出す人もいるでしょう。しかし大半は、どのような企業に勤めていようと、何を公表すべきか倫理的に悩み続けるでしょう。サイバーセキュリティ専門家に対する何らかの秘匿特権が法廷で認められることは、今後もおそらくないのですから。代わりにサイバーセキュリティ専門家は、これまでと同様、自らの良心に従うことになるのです。
原文はこちら
A matter of cybersecurity conscience
October 10, 2022
https://blog.barracuda.com/2022/10/10/a-matter-of-cybersecurity-conscience/
