社内の「スノーデン」にどう対応？ セキュリティ担当者の本音を探る：喉元過ぎれば何とやら、事件後も管理ポリシーに変化なし

米NSAによる情報監視を暴露した「スノーデン事件」を契機に、システム管理者の権限の見直しが盛んに論じられている。しかし、事件後もポリシーを変更していないシステムが多く存在することがある調査で分かった。

[Brandan Blevins，TechTarget]

「内なる脅威」の代名詞になった「スノーデン」

　米国家安全保障局（NSA）のスパイ行為をエドワード・スノーデン氏が暴露したことで、管理者権限の設定状況の見直しを余儀なくされた企業が増えたかに思えた。しかし、最近の調査によると、企業は必ずしもこのような懸念への対策を講じていないようだ。

　国防関連業務を請け負っていた職員として、ハワイにあるNSA関連施設に勤務していたスノーデン氏は、大量の機密文書を公開し、悪名を轟かせた。通信監視プログラム「PRISM」を始めとするNSAプログラムを暴露することになった資料には、NSAのネットワーク上のファイル共有スペースからアクセスしたといわれている。スノーデン氏には機密情報にアクセスする権限が与えられており、また当時の職務の性質から、後日暴露した機密情報を同氏がダウンロードした際、何の警告も発せられなかったという。セキュリティコミュニティーにおいて「スノーデン」は、盛んに論じられている「内なる脅威」の代名詞になっている。

関連記事

• 監視活動「PRISM」を暴露したPowerPoint資料に書かれていたこと
• 米国政府にも盗聴できないクラウドシステムを作るには
• 匿名検索エンジン「DuckDuckGo」の利用急増――理由は“PRISM騒動”
• 市販製品を利用？　米国政府のネット情報収集手法が判明
• PRISM発覚で崩壊した情報セキュリティの幻想（Computer Weekly）