セキュリティ
また、行方不明だった学校のiPadが、コーチの子供たちがYouTubeに動画をアップロードしたことで発見された
PWNED 改めてようこそ、PWNEDへ。これは毎週掲載のコラムで、少なくとも部分的には被害者自身に責任があるセキュリティ上のトラブルを取り上げています。今週は、ITが対処した、極めて非常識な行動、企業リソースの不適切使用、そして露骨な窃盗にまつわる3つの話をお届けします。
ネットワークに大きな穴を開けた人物についての話をお持ちですか?ぜひ [email protected]までお知らせください。ご要望があれば匿名での掲載も可能です。
今回の技術的失態のトリロジーは、現在セントルイスの健康科学・薬学大学でCIOおよびCISOを務めるZach Lewis氏の提供によるものです。現職に就く前、Lewis氏はさまざまな企業でIT関連の職に就いており、語るべき話をいくつも持っています。
ある職場で、Lewis氏がシステム管理者として働いていたとき、CEOから会社のファイル共有サーバから誤って削除した写真の復元を依頼されました。それらのファイルは組織内の誰でもアクセスできる状態にあり、Lewis氏はGoogle Picasaのアーカイブコピーを検索して復元しました。
残念ながら、CEOが探していた写真の中には、職場では到底ふさわしくないものが多数含まれていました。
「それで、彼のそばに座って一緒に確認するよう呼ばれたんです。復元が完了して、全部揃っているか確認するために画像をクリックし始めました。ランダムにいくつか抽出チェックをしていたんですが」とLewis氏は語ります。「そうしたら、ポルノが出てきてしまって。彼は私のすぐ隣に座っていました。本当にすぐ隣で、彼はただ『ああ、それは僕のポルノだよ』って感じで言うんです。」
写真の復元を終えると、Lewis氏は部屋を出ました。上司は全く恥じる様子もなく、IT担当者に露骨な画像を見られることも、従業員なら誰でもダウンロードできる場所に保存していることも、全く気にしていない様子でした。それらの画像は公式写真や家族写真と混在していました。
しかし、これは問題のある慣行であり、訴訟につながりかねないと判断したLewis氏は人事部に相談し、問題を報告しました。HR担当者は、たとえそれが大ボスのものであっても、ネットワーク上のわいせつ画像をすべて削除するよう指示しました。Lewis氏はその通りに実行し、幸いにも、上司の際どい写真を削除したことで職場での不利益を被ることはありませんでした。
山高帽をかぶっていた
別の事例では、Lewis氏はある同僚から、自分のノートパソコンにウイルスが感染したと思うとして確認を依頼されました。ただし、その同僚はファイルを見ないよう念を押しました。
しばらくすると、Lewis氏は裸の女性の画像や従業員自身の裸の写真が大量に収められたサブフォルダが並ぶフォルダに気づきました。写真のファイル名もそれぞれ的確な説明が付けられていました。
その同僚にとって最も恥ずかしかったのは、Lewis氏に自分の半裸の写真を見られたことでしょう。とはいえ、厳密に言えば服は着ていました。山高帽をかぶっていたのですが――それだけで、他は何も身に着けていませんでした。
Lewis氏が指摘するのは、従業員が会社のパソコンを自宅のパソコンと同じように扱い、企業所有の機器に個人的な画像を保存することの問題を理解していないという点です。このような行為を明確に禁止するポリシーを設け、従業員に周知徹底することを彼は提案しています。
従業員がポリシーに違反した場合は、穏やかに注意する必要があります。
「ポリシーというのは、あくまでも紙に書かれたものに過ぎませんよね?強制するのは難しい」とLewis氏は言います。「このケースでは、ユーザーに直接話すことができます。山高帽の彼の直近のケースでは、パソコンを返すときに『これは会社の資産ですよ』と伝えました。」
子供たちのYouTube投稿が潜在的な窃盗犯を暴露
また別の仕事で、Lewis氏はある大学で働いていました。あるアスレチックコーチが退職した際、学校から支給されたiPadを机の上に置いていくよう言われていました。ところがIT部門が機器を回収しに行くと、そのタブレットが見当たりませんでした。
誰もiPadを見つけられませんでしたが、1か月後、学校のYouTubeチャンネルに新しい動画がアップロードされました。その動画には別のコーチの子供たちが映っており、彼の自宅からアップロードされたと思われました。
どうやら別のコーチが最初のコーチの机からiPadを持ち去り、自分の子供たちに渡したとされています。子供たちはそのiPadで面白いホームビデオを撮影してYouTubeにアップロードしましたが、それが学校の公式YouTubeアカウントに紐付いていることに気づいていませんでした。
Lewis氏がHRに報告すると、HRは疑惑の人物を呼び出しました。最初、彼は動画に映っている子供たちが自分の子供ではないと否定しました。しかしHR担当者がSNSに投稿された彼と子供たちの写真を見せると、彼は認めました――確かに自分の子供たちだと。
コーチはその後、iPadがどうやって自宅に来たのか分からないと言いましたが、iPadを取り出してITに返却しました。
このiPadをめぐる出来事には、セキュリティ上の問題が多数あります。まず、返却されなかったiPadは、他の人が使えないほどのロックがかかっていませんでした。学校のYouTubeアカウントにアクセスできる状態だったため、窃盗犯が独自のコンテンツを追加できる状態でした。また、一部の学生アスリートの個人識別情報(PII)も含まれていた可能性があります。
教訓:退職する従業員には、機器を必ずIT部門に直接返却させること。机の上に置かせるだけにしてはいけません。そして、タブレットも必ず生体認証でのアクセスを必須にしてください。®
ITを養う手を噛む
