シャドーブローカーズの正体や動機が何であれ、この事件は米政府の情報セキュリティー政策に関する明確な教訓を提示した。1つ目の教訓は、セキュリティーの脆弱性を開示する「脆弱性公平プロセス（通称VEP）」を取り巻く懸念だ。VEPは、米政府の情報機関がサイバーセキュリティ―上のシステムの弱点を発見した際、欠陥を修復するようシステム開発者へ通知するかどうか、またどのタイミングで通知するかの手順を定めたものだ。

　2014年、米政府のサイバーセキュリティ―調整官を務めるマイケル・ダニエルはホワイトハウスの公式ブログで、同プロセスは脆弱性の積極的な開示を強く支持するものだという米政府の見解を強調した。「インターネットに山のような脆弱性があると分かっていながら開示せず、問題を放置して国民の身を危険にさらすことは、アメリカの安全保障上の利益にならない」

　しかしそれを言うなら、あらゆる基準に照らして最も開示されるべきだったのがシスコの脆弱性だった。NSAはそこから、エクストラベーコンを使ってネットワークに侵入していた。それはかなり大きな欠陥で、ネットワークのすべてのトラフィックを監視できる。シスコは世界最大級の通信機器メーカーなので、その製品がハッキングされれば、アメリカと外国の膨大な数の企業が攻撃対象になる。

NSAでさえ秘密の盗難を防げない

　だからこそ、NSAにとってエクストラベーコンは価値の高いものだった。そして一時的にでもそれを使いたい誘惑も強かっただろう。その決断は、最初は正しかったのかもしれない。だが、3年の間、シスコにそれを通知しなかったことは言い訳のしようがない。その結果、シスコだけでなくシスコの顧客までが、いつ悪意のハッカーに襲われるかわからない状態にある（シスコはまだ修正パッチを出していない）。もし襲われれば、企業活動が麻痺するのは必至だ。

　このハッキング事件はまた、暗号化されたソフトやサービスにも裏口を作って、いざというときFBIやCIAのような「正義の味方」が犯罪者やテロリストの通信履歴を調べられるようにするべきだ、という政府の言い分も怪しいものだと思わせる。

　もしNSAでさえ自らのハッキングツールを守れないなら、専門家でないFBIやCIAが「裏口」をハッカーたちから守れるだろうか。ハッカーたちにばれてしまえば、彼らはその裏口から数百万という他のユーザーのアカウントに侵入するだろう。イクエージョングループのハッキングは、それを雄弁に物語っている。一度裏口を作ったら、そこを通るのは善人だけだとは決して保証できないのだ。

This article originally appeared on the Cato Institute site.
Julian Sanchez is a senior fellow at the Cato Institute.