「Twitterは危険だ」と納得させられてしまう理由：揺らぐソーシャルメディア企業の信頼性【後編】

Twitterの元幹部による内部告発は、同社のセキュリティ体制や情報管理体制のずさんさを指摘する内容だった。告発を擁護する専門家は「ソーシャルメディア企業の信頼性が揺らいでいる」と話す。

[Alex Scroxton，TechTarget]

　Twitterのセキュリティ対策やプライバシー管理に関する重大な疑惑が浮上している。同社の元セキュリティ責任者ピーター・ザトコ氏は2022年7月、Twitterがセキュリティやユーザーのプライバシー保護を怠っていると指摘する告発状を米証券取引委員会（SEC）に提出した。

　ザトコ氏は「マッジ」の通り名を持つ著名な元ホワイトハッカーで、2020年後半からTwitterでセキュリティ責任者を務めていたが、2022年1月に同社から解雇された。セキュリティ領域の専門家はザトコ氏を擁護し、Twitterの主張に反発している。

「尊敬を集める」内部告発者　擁護の声が続出

　セキュリティベンダーVectra AIでSaaS（Software as a Service）製品担当CTO（最高技術責任者）を務めるアーロン・ターナー氏は、ザトコ氏を擁護する人物の一人だ。「マッジのことは、彼がハッカー集団Cult of the Dead Cowでホワイトハッカーとして活動していた頃から知っている」とターナー氏は語る。

　ターナー氏がMicrosoftで働いていた時、ザトコ氏は同社のセキュリティ戦略を根本から改善したという。ターナー氏は2022年までの約20年間、政府関連のプロジェクトに携わってきた。米国防高等研究計画局（DARPA）でのザトコ氏の仕事ぶりについては、「米国政府のサイバーセキュリティへの取り組み方に大きな変化をもたらした」と語る。

　ザトコ氏は誠実で、システムの開発および運用において常に最高の技術水準を重視していたとターナー氏は評価する。同氏は「もしマッジがTwitterにセキュリティの問題があると言うならば、Twitterは重大な問題を抱えている」とみる。

併せて読みたいお薦め記事

連載：揺らぐソーシャルメディア企業の信頼性

• 前編：解雇された“著名ハッカー”が「Twitterは欠陥と不正だらけ」との衝撃告発
• 中編：Twitterから“スパムbot”が消えない本当の問題とは

物議を醸すソーシャルメディア企業

• Twitterのずさんな個人情報管理　「認証用の電話番号」を広告にうっかり利用
• Facebookの「顔認識技術」が物議を醸す“本当の理由”

　著名人のTwitterアカウントを乗っ取り、暗号資産（仮想通貨）に関する偽の情報を投稿するサイバー攻撃が2020年に発生した際、ターナー氏は調査を担当した。同氏は当時を振り返り、「Twitterでは、不正を防止するための特権ID管理や、開発とシステム管理の職務分離ポリシーが適切に設定されていなかった」と語る。

　ザトコ氏がSECに開示した内容が正しい場合、つまりTwitterがID管理の統制やポリシーに関する問題を抱えているとしたら、同社の短文投稿サイト全体が危険だということを意味するとターナー氏は指摘する。

　サイバーセキュリティ企業Arctic Wolf Networksの研究開発担当副社長であるダニエル・サノス氏もザトコ氏の支持を表明し、次のように述べている。「マッジはサイバーセキュリティのコミュニティーにおいて高い信頼と評価を得ているリーダー的存在であり、彼の発言を軽んじるべきではない」

　サノス氏はTwitterへ向けられている疑惑について、他のソーシャルメディア企業でも観測されるパターンだと話す。「残念ながら、ソーシャルメディア企業がセキュリティとプライバシーの問題を曖昧にし、透明性に欠けた対処をする例があまりにも目立つ」（同氏）

　これらソーシャルメディア企業に関する一連の出来事は、各社の自己管理がうまく機能していないことを示している。ソーシャルメディア企業はいまや出版社のような存在となっており、各社には社会的信頼が強く要求される。それに伴い、ソーシャルメディア企業にはセキュリティや透明性に関する責任も生じるが、サノス氏は「明らかに各社はその責任を果たしていない」と指摘する。

　Twitterの短文投稿サイトは人々の重要な情報源だが、社内に脅威を抱える同社への信頼は揺らぐ。「ユーザーからの信頼を維持するためには、Twitter社内のセキュリティ管理を徹底し、最高レベルのセキュリティとプライバシーを確保しなければならない」（サノス氏）

　ソーシャルメディア運営企業はサービスの拡張を続けると同時に、セキュリティとのバランスを取る必要がある。「ネットワークのリソースや通信の可視化をはじめとしたさまざまなセキュリティ対策によって、ほとんどの欠点を補うことが可能だ」。クラウドセキュリティベンダーInfobloxの最高情報セキュリティ責任者（CISO）、エド・ハンター氏はそう語る。

問題はソーシャルメディア企業に限らない

　企業がセキュリティの脆弱（ぜいじゃく）性を抱えている問題は、ソーシャルメディアの領域にとどまらない。企業において、平時からセキュリティを健全に保つことを指す「サイバー衛生」（サイバーハイジーン）が欠如していることや、セキュリティのベストプラクティスを故意に無視することは、あまりにも一般的だ。

　例えば、アクセス管理ツールベンダーMyCena（MyCena Security Solutionsの名称で事業展開）のCEO、ジュリア・オトゥール氏は、ザトコ氏の主張はデータ保護における各社の対策が遅れている可能性を示すものだと指摘する。企業は自社のデータに責任を持ち、安全な状態に保つ義務があることを認識しなくてはならない。オトゥール氏は「従業員が重要データにアクセスするための独自のパスワード作成を許可することで、企業はデータの制御権を失っている」と語る。

　オフィスの鍵を従業員に作らせる組織はほぼ存在しない一方で、重要資産の一つであるデータにアクセスするためのパスワードを従業員に作らせる組織は存在する。「セキュリティを強化するためには、社内におけるデータ保護を徹底する必要がある」とオトゥール氏は語る。

　サノス氏は今回のザトコ氏による内部告発について、「取締役会とセキュリティリーダーが、オープンで正直な報告の場や関係を持つことの重要性を示している」と指摘する。内部の利害関係者が妥協してはいけない。ザトコ氏は、取締役会へ正確な情報を報告することをTwitterの上級管理職に妨害されたと主張している。サノス氏は、「ザトコ氏によるこの主張は、全てのセキュリティ関係者に懸念材料を与えている」と言う。

　ザトコ氏は、Twitter社内の脅威に対処するために同社に雇用された。「この一件は、自社のセキュリティを良くしようと変革に取り組むCISO（最高情報セキュリティ責任者）が、上級管理職から受ける干渉の例を示している」とサノス氏は語る。「セキュリティ分野における使命を重視する人なら、業界全体のために、マッジ氏が勝利することを望むはずだ」（同氏）

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。