セキュリティ
CEOはメールの問題に対処する最善策として、これが正しいと信じていました
PWNED 皆さん、またお会いしましょう。PWNEDへようこそ。このコラムは毎週お届けする特集で、システムのセキュリティ対策を怠った人々にスポットを当てています。パスワードや重要なアクセス情報を無防備にさらした事例があれば、ここで取り上げます。
ネットワークに大きな穴を開けてしまった事例をご存知ですか? [email protected] までお知らせください。ご要望があれば匿名での掲載も可能です。
今週の恐ろしいセキュリティ衛生の実話は、Aegis Cybersecurity のCEO兼主任コンサルタントであるLuke Irwin氏から寄せられたものです。同氏は四半世紀以上にわたってこの業界に携わり、業界の内側を知り尽くしています。
Irwin氏がかつてコンサルタントとして関与したのは、従業員2,000人規模の大手総合施設管理会社でした。清掃や警備員の派遣、高層建物の外壁清掃(ロープアクセス作業)など、大企業が施設を円滑に運営するために必要なサービスを幅広く提供していた企業です。
そのCEOには、社内管理に関して非常に風変わりな持論がありました。全従業員のログイン情報を自分の手元に置いておきたい、というのです。
最高経営責任者のデスクトップには、全従業員のユーザー名とパスワードが網羅されたExcelスプレッドシートが置かれていました。少し立ち止まって考えてみてください。組織の「鍵」がすべて、たった1人の人間の手の届く1つのファイルに収まっていたのです。
まともなセキュリティ体制では、他の社員のパスワードにアクセスできる人間は誰もいません。IT部門の責任者であっても、他の従業員のパスワードを知るべきではないのです。かつて筆者が勤めていた会社では、パソコンに問題が生じるとIT部門からパスワードをDMで送るよう求められていましたが、それも論外な話です。
しかしこの会社のCEOがユーザー名とパスワードを欲しがった理由は、従業員なら誰でも察しがつくでしょう。他者のメールアカウントに入るためです。以前、ある同僚が機密情報を全社員にメールで誤送信したことがあり、そのCEOは夜間に一つひとつのアカウントにログインしてメールを削除して回ったといいます。誰かに見られる前に。
今後も誤送信が起きる可能性に備え、CEOは自分で関係アカウントにログインして削除できる手段を確保しておきたかったのです。おそらく同じ理由から、MFA(多要素認証)の導入も拒否していました。MFAが有効だと他人のメールボックスに入れなくなるからです。過去にランサムウェア被害を受けていたにもかかわらず、CEOはその姿勢を頑として崩しませんでした。
「繰り返し助言したにもかかわらず、彼はその立場を約4カ月間維持し続けました。ITチームが管理者権限のシンプルなコマンドを使えば、各自のパスワードなしに一元的にメッセージを削除できると実証してはじめて、考えを改めてもらえたのです」とIrwin氏は語っています。
「恥のExcelシート」が廃止された後も、経営者はMFAの有効化を拒み続けました。その後、同社は機密性の高いクライアントデータが漏えいするデータ侵害を2件立て続けに受けることになります。
残念ながら、MFAに反対する経営陣を抱えていたのはこの会社だけではありませんでした。Irwin氏が関与した別のクライアント(医療分野の企業)も、多要素認証の導入に反対していました。理由は、社外のコンサルタントがシステムにアクセスする際に「少し手間が増えてしまう」からだったといいます。
Irwin氏がその企業に関わっていた期間は、幸運にも侵害を免れました。しかしその後、同社のデータがダークウェブで出回っているのを確認しています。MFAが最終的に有効化されたかどうかは不明です。
Irwin氏の2社の事例からは多くの教訓が得られますが、どれも本来なら言わずもがなのことです。まず、管理者やCEOであっても、他人のパスワードを保有させてはなりません。他人のメールアカウントへのアクセスが必要な場合は、ITが管理者権限を使う運用を徹底してください。次に、MFAは必ず有効化してください。できればパスキーを用いたMFAが理想的です。®
