最近は本業を着実に遂行するための安全対策を怠って利用者に被害を与えるのが流行っているのか？

PCや家電製品の価格比較サイト「価格.com」が、外部からの不正アクセスを受けてサイトの一時閉鎖に追い込まれているが、経緯を見ると対応が後手後手に回っておりかなりお粗末な状況のようだ。

＜これまでの経緯＞ 5月11日にプログラムの異常が発覚。調査したところ不正アクセスが原因であり、一種のサイバーテロ的な行為であると認識しました。
即時警察当局等とも相談し、24時間監視体制でサイト運営を続けながらプログラム改ざんの影響や対抗策、犯人の調査を続けて参りましたが不正アクセスは止まず、改ざんの範囲が拡大したため止む無く5月14日よりサイトを閉鎖しております。（価格.com「当社運営サイトに対する不正アクセスとサイト一時閉鎖に関してのご報告」 2005年5月15日）

不正アクセスの経路や内容、被害の程度などは殆ど公表されていないが、これまでの報道を見ていると危機管理としてやってはいけないことをみんなやっているなぁというところ。具体的に列挙すると次の通り。

ひとつ目は、サイト運営を本業とする会社が簡単に不正アクセスされてしまった点。

広報やIR活動の一環としてサイトを公開している企業ならまだしも（本当は良くないが）、価格.comは価格比較サイトの運営で広告料を得るビジネスモデルの企業なので、利用者の安全確保という観点はもちろん、「評判」という観点からもサイトのセキュリティ確保は最優先のはず。にもかかわらず不正アクセスを許してしまったというのは、一体どういうセキュリティ対策をとっていたのだろう？

二つめは、サイト閉鎖の決断が遅すぎた点。

価格.comの発表によれば、サイトのプログラムの異常が発覚したのが11日。その後、改ざんの影響や対抗策を検討したものの効果が無く、被害が拡大したためサイトを閉鎖したのが14日。閉鎖までの間にウィルスをユーザーにばら撒いてしまったわけだが、もう少し早く被害状況を見極め、サイト閉鎖ができなかったものかと思う。

誤解が無いように書いておくと、サイトの異常が発覚したらとにかくサイトを停止すべきだと言いたいわけではない。サイトの異変が見つかっただけの段階で、「とりあえず」サイトを閉鎖してしまうというのは相当乱暴であり、まずは影響の見極めを優先するという選択肢は当然取りうる選択肢だとは思う。

ただ、それにしてもサイト閉鎖まで3日はかかりすぎだと思うし、価格.comのサイトはすべてのページが動的に生成されるページだったという情報もある。もし、そうだったのであればプログラムに異常が発覚した時点で直ちにサイトを一旦閉鎖するという手続を取るべきだった。改ざんされたプログラムは価格.comのコントロール下に無いことになるので、これは当然の措置だろう。

三つめは、被害情報や対応策の開示が遅すぎるという点。

これは二つめの問題点とも関連するが、13日（金）の夕方くらいまでに何らかのアナウンスをしておくことは出来なかったのだろうか。

二つめと三つめについては、そもそも不正アクセス防止策が有効であれば発生しなかった状況ではあるが、図らずも発生してしまった場合の危機対応としてはとても最善の対応とは言えないだろう。

今回の事故で、危機対応は初動を間違えると却ってダメージが拡大してしまうという事例がまた増えてしまったのは残念。価格.comは、早急にサイトの再開を目指すことはもちろん、利用者の不安を取り除くための適切な説明をしてもらいたいと思う。