事業者のなすべきことは何だったか

何が起きているのか、確たることがわかるまでは触れまいと思っておりましたが、ここ数週間の業界の出来事としてそろそろKADOKAWA・ニコ動さんのサイバー攻撃被害のことを記しておきます。本件についてWikipediaも立っていますね。

2024年KADOKAWA・ニコニコ動画へのサイバー攻撃 - Wikipedia

ともかく、被害当事者、なかんずく復旧をがんばってらっしゃる現場の方々にお見舞い申し上げるとともに、無事故でスムーズな復旧をお祈りしたいと思います。
自社所有・運営のハイブリッドクラウドの、プライベートクラウド側にランサムウェアの感染があって、パブリッククラウド側に残った機能以外はサービスを停止した、一部では「電源ケーブルを抜く」という措置が必要だった、と報じられています。
すでに発生・被害確認から2週間が経っています。

ＫＡＤＯＫＡＷＡ襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く

また一昨日には、被害当事者のKADOKAWAさんから報道に対して抗議文が出されました。

KADOKAWA、サイバー攻撃に関する一部報道に抗議「犯罪者を利する」【全文】（オリコン） - Yahoo!ニュース

信頼できるセキュリティ専門家筋の情報であったり、推測できることとしても、パブリッククラウド側は防御ができていたとは言えそうです。
これが何を意味しているのかは、これからの事故調査を見守りたいと思います。
それは、この事案の責任の所在と程度を考える上で、重要なことだと考えています。

サイバー攻撃被害のケースだと、どうも社会は「被害者を責める」傾向にあって、正直同情するところがあります。
たしかに「利用者を保護する事業者の責任」というものはあります。利用者の機微情報であったり、サービスを利用する権利（約款の遵守）であったり。
例えば、金融機関だと、仮に機微情報は守られたとしてもサービスが停止していたら、利用者には「債務不履行事故」といった不利益を被るかもしれません。
なので、被害当事事業者に対して「なぜ守れなかったんだ！」という感情が湧くのはやむを得ないところだとは思いますけれど…まぁわきまえというものはあるだろうと。
では、今回のケースではどうなのでしょうか。
「"プライベートクラウド"が感染し、サービス不全を起こした」
事業者として、なすべきことは何だったのか、考えさせられます。引き続き注視したいと思います。