2021/10/05

「シェアしない」というセキュリティ

2021 年 10 月 5 日 Josh Stuifbergen 著

毎年 10 月は Cybersecurity Awareness Month (サイバーセキュリティ啓発月間) で、CISA がセキュリティ意識向上のためのプレゼンテーションを行います。この月間中は、情報セキュリティの専門家が Twitter で相次いで投稿したり、セキュリティの基本をしつこく確認するメールが企業から届いたりして、うんざりするかもしれません。しかし利点もたくさんあります。たとえば強力なパスワードの使用などのセキュリティの基本について、一般のユーザも慣れてきたということが挙げられます。パスワードマネージャもその風潮に貢献しています。そして、面倒になったと不満を持つユーザもいるかもしれませんが、2 要素認証も広く採用されるようになりました。現在最大の脆弱性と言えば、フィッシングでしょう。すべてのフィッシングを見抜くには、かなりの練習と経験が必要です。また、報酬が破格の、あまりに都合のいいアンケートなどが送られてきた場合、それを要求してきた第三者の動機を探らなければならないこともあります。

最近ウォッチガードのセキュリティチームのメンバーが、とあるコンサルタントグループから LinkedIn でメッセージを受け取りました。メッセージによると「サイバーセキュリティの最適化分野に関して理解を深めるプロジェクトに取り組んでいる」とありました。30 分から 60 分の電話で、1 時間あたり 400 ドルもの謝礼を、仮想のプリペイド VISA カードの形で受け取る権利がある、とのことです。翌日、コンサルタントがフォローアップをしてきた時には、謝礼額は 1 時間あたり 600 ドルに増加していました。もしあなたがこの依頼を受けたら、どう思うでしょう。

共有しても害のなさそうな情報を渡せば効率よくお金を稼げる、絶好の機会だと考えるでしょうか。あるいは一見して詐欺だと考え、メッセージを無視するでしょうか。もしくは、悪質な背景があるのでは、と疑うでしょうか。答えは簡単ではなく、見極めにはさらなる情報が必要です。連絡してきた人物は、本当にそのコンサルタント会社で働いているのか、それともなりすましか。そしてこれが本記事の重要なポイントですが、ここで求められている情報を第三者と共有することは妥当なのかどうか。また、情報を渡す相手に関わらず、このアンケートに答えることを、会社の資産の機密保持に違反していると雇用主が考えるかどうか。本件のコンサルティング会社は (これが詐欺ではないと仮定して)、支払いを受け取るための制限についても言及しています。「組織によってそのような支払いを受け取ることが許可されている、または法律によって禁止されていない個人が対象となります。報酬を受け取ることができない場合でも、本件に関してお寄せいただいた意見は、参考にさせていただきます」とあります。

ほとんどの企業には、オープンソースの情報が多くあります。これは Netflix のような大企業にも当てはまり、StackShare のようなウェブサイトでは、使用しているツールの一部を (事実かどうかはさておき) 見ることができます。Netflix の StackShare ページには、実際のセキュリティソリューションが明らかに欠けています (OneLogin を除く)。しかしこれは当然です。自社が採用しているセキュリティツールを公表することは、攻撃者にセキュリティ体制をばらすことになるため、危険が伴います。「貴社は、サイバーセキュリティのサービスやアプリケーションを外部のベンダーから購入していますか」や「以下のサイバーセキュリティベンダーのうち、a) 現在使用しているもの、b) 使用したことがあるものを教えてください」といった質問への回答も、危険な情報になりうるということです。

コンサルタント会社のアンケートに参加することが必ずしも悪いというわけではありません。実際、コンサルタント会社が包括的なセキュリティの状況を理解することは重要です。これらの情報をどのように公開するか、ということがこの問題の核心です。従業員が雇用契約書にサインする際、主な給与以外の収入を得ることを禁止したり、承認を求めたりする条項が含まれていることは珍しくありません。また、守秘義務や、機密性、作法に関わる事項についても規定されています。したがって、もしコンサルタント会社含むその他の第三者からこのような申し出を受けた場合には、契約上の合意事項に違反していないかどうか、雇用主にその旨を伝えることが重要です。またこの記事をご覧になっている経営者の方は、会社の情報を共有する際の基本的な注意事項を、従業員に再確認するとよいでしょう。