Facebook の機密文書流出を考える:そんなに簡単に漏れるものなの?

The Human Element Is the Weakest Link

2021/10/15 DarkReading — 先日に発生した Facebook の障害は、35億人のユーザーと膨大な数の企業に影響を与えた。しかし、それは大したことではない。問題が発生したら、世間に向けて謝罪の言葉を発表し、次のステップに進む・・・それが通常のビジネスだ。しかし、この会社は、もっと大きな問題を抱えている。

ここで、少しだけ過去にさかのぼって話をさせてほしい。2013年に、Edward Snowden は National Security Agency から大量の機密データを流出させた。その結果として生じたデータの露出は、さまざまなレベルで壊滅的は被害をもたらした、これはよく知られており、いまも進行中である。

そして、話は現在に戻る。Facebook の内部告発者である Frances Haugen は、最近の議会での証言の中で、Facebook における慣行の裏側に関連する、何万もの文書を所有していると述べ、同社として自らが引き起こす害を認識していると主張している。

この2つの件における相関関係は? 私たちはよく、テクノロジーの食物連鎖の中で最も弱いのは人間という要素だと話している。その弱点に対抗する方法の1つが、セキュリティ管理である。物理的なセキュリティ対策であれ、技術的なセキュリティ対策であれ、それらは、組織のあらゆるレベルに存在しなければならない。

ここで問題が発生する。Facebook の Product Manager が、データ損失防止 (DLP: Data Loss Prevention) ツールに検知/遮断されずに、大量のデータを流出させることができるのか、私は頭を悩ませている。DLP は、新しい技術ではない。この種の活動に警鐘を鳴らす (あるいは鳴らすべき) 非常に高性能な DLP 製品が、市場には数多くある。Facebook のようなリソース/規模/複雑性を持つ企業であれば、ネットワーク・インフラの一部として、DLP を導入していることに間違いはないだろう。

しかし、実際のところ、DLP でさえも旧式になりつつある。機密データを扱う企業にとって、データ損失防止ツールは重要なものだ。データ・セキュリティは何層にもわたって管理されているが、DLP はそのうちの1つに過ぎない。また、悪意のある行動を検知するための主な方法として、ユーザーとエンティティの行動分析 (UEBA: User and Entity Behavior Analytics) がある。

UEBA を使用することで、通常とは異なるユーザーやシステムの活動を、検知することが可能になる。たとえば、あるユーザーが地理的に離れた複数の場所からネットワークにログインしている場合、それは赤信号かもしれない。また、ユーザーが通常とは異なるファイルにアクセスしたり、全く新しいアプリケーションを起動したりした場合にも、懸念すべき事態が発生する可能性がある。また、DNS エントリや BGP ルートのような重要なものが、適切な変更管理プロセスを経ずに変更されていたら大変なことになる。

実際のところ、インサイダーの脅威は、意図的であろうとなかろうと、今後も存在し続けると考えられる。悪質な行為者から身を守るためには、検知/防止ツールを導入する必要がある。

これらのことから、話を本線に戻す。Haugen は、いったいどのようにして、これらのデータを手に入れたのか? いつ手に入れたのか? 彼女は世界のどこにいたのか? 彼女は、自分よりも特権的なアクセスを持つ誰かに助けられたのか? 現在もデータは吸い上げられているのか? Facebook のネットワーク上に残された “贈り物 “は、将来的にサプライズになるようなものだったのか?

私は、誰かを非難しているわけではない。しかし、IT セキュリティの専門家としては、この情報漏洩に複数の人間が関わっていると推測し、また、残されたパンくずがあるかどうかを非常に心配している。

企業は、リモートワークの急速な進化による課題に悩まされている。しかし、パンデミックの発生前に多層的な保護と管理を行い、十分な準備をしていた企業は、そうでない企業と比べて、はるかに良い結果を出している。今回のケースでは、Facebook が IT セキュリティの観点からの、「完全な予防接種」を受けていなかったことが明らかになった。今回の出来事から、多くの教訓が得られることを切に願っている。

今回の Facebook の停止は、大きな不便をもたらしたが、業務上の文書が流出したことによる影響は、数時間の停止をはるかに上回るものだ。風評被害は、たとえ 800ポンドのゴリラであっても、回復するのは非常に困難となる。私が言えることは、誰かがたくさんの “文句 “を言わなければならないということだ。

今月の一番の大騒動は、やはり Facebook のシステムダウンですね。しかし、Facebook における、それ以上の問題は、例の内部告発の根拠となる、流出ドキュメントだという記事です。たとえインサイダーだとはいえ、こんなに簡単に、機密文書が漏洩してしまう SNS って大丈夫なのかと言われると、誰もが不安になります。鋭い視点を提供してくれる、とても良い記事ですね。

%d bloggers like this: