Twitterの元幹部による内部告発は、同社のセキュリティ体制や情報管理体制のずさんさを指摘する内容だった。告発を擁護する専門家は「ソーシャルメディア企業の信頼性が揺らいでいる」と話す。
Twitterのセキュリティ対策やプライバシー管理に関する重大な疑惑が浮上している。同社の元セキュリティ責任者ピーター・ザトコ氏は2022年7月、Twitterがセキュリティやユーザーのプライバシー保護を怠っていると指摘する告発状を米証券取引委員会(SEC)に提出した。
ザトコ氏は「マッジ」の通り名を持つ著名な元ホワイトハッカーで、2020年後半からTwitterでセキュリティ責任者を務めていたが、2022年1月に同社から解雇された。セキュリティ領域の専門家はザトコ氏を擁護し、Twitterの主張に反発している。
セキュリティベンダーVectra AIでSaaS(Software as a Service)製品担当CTO(最高技術責任者)を務めるアーロン・ターナー氏は、ザトコ氏を擁護する人物の一人だ。「マッジのことは、彼がハッカー集団Cult of the Dead Cowでホワイトハッカーとして活動していた頃から知っている」とターナー氏は語る。
ターナー氏がMicrosoftで働いていた時、ザトコ氏は同社のセキュリティ戦略を根本から改善したという。ターナー氏は2022年までの約20年間、政府関連のプロジェクトに携わってきた。米国防高等研究計画局(DARPA)でのザトコ氏の仕事ぶりについては、「米国政府のサイバーセキュリティへの取り組み方に大きな変化をもたらした」と語る。
ザトコ氏は誠実で、システムの開発および運用において常に最高の技術水準を重視していたとターナー氏は評価する。同氏は「もしマッジがTwitterにセキュリティの問題があると言うならば、Twitterは重大な問題を抱えている」とみる。
著名人のTwitterアカウントを乗っ取り、暗号資産(仮想通貨)に関する偽の情報を投稿するサイバー攻撃が2020年に発生した際、ターナー氏は調査を担当した。同氏は当時を振り返り、「Twitterでは、不正を防止するための特権ID管理や、開発とシステム管理の職務分離ポリシーが適切に設定されていなかった」と語る。
ザトコ氏がSECに開示した内容が正しい場合、つまりTwitterがID管理の統制やポリシーに関する問題を抱えているとしたら、同社の短文投稿サイト全体が危険だということを意味するとターナー氏は指摘する。
サイバーセキュリティ企業Arctic Wolf Networksの研究開発担当副社長であるダニエル・サノス氏もザトコ氏の支持を表明し、次のように述べている。「マッジはサイバーセキュリティのコミュニティーにおいて高い信頼と評価を得ているリーダー的存在であり、彼の発言を軽んじるべきではない」
サノス氏はTwitterへ向けられている疑惑について、他のソーシャルメディア企業でも観測されるパターンだと話す。「残念ながら、ソーシャルメディア企業がセキュリティとプライバシーの問題を曖昧にし、透明性に欠けた対処をする例があまりにも目立つ」(同氏)
これらソーシャルメディア企業に関する一連の出来事は、各社の自己管理がうまく機能していないことを示している。ソーシャルメディア企業はいまや出版社のような存在となっており、各社には社会的信頼が強く要求される。それに伴い、ソーシャルメディア企業にはセキュリティや透明性に関する責任も生じるが、サノス氏は「明らかに各社はその責任を果たしていない」と指摘する。
Twitterの短文投稿サイトは人々の重要な情報源だが、社内に脅威を抱える同社への信頼は揺らぐ。「ユーザーからの信頼を維持するためには、Twitter社内のセキュリティ管理を徹底し、最高レベルのセキュリティとプライバシーを確保しなければならない」(サノス氏)
ソーシャルメディア運営企業はサービスの拡張を続けると同時に、セキュリティとのバランスを取る必要がある。「ネットワークのリソースや通信の可視化をはじめとしたさまざまなセキュリティ対策によって、ほとんどの欠点を補うことが可能だ」。クラウドセキュリティベンダーInfobloxの最高情報セキュリティ責任者(CISO)、エド・ハンター氏はそう語る。
企業がセキュリティの脆弱(ぜいじゃく)性を抱えている問題は、ソーシャルメディアの領域にとどまらない。企業において、平時からセキュリティを健全に保つことを指す「サイバー衛生」(サイバーハイジーン)が欠如していることや、セキュリティのベストプラクティスを故意に無視することは、あまりにも一般的だ。
例えば、アクセス管理ツールベンダーMyCena(MyCena Security Solutionsの名称で事業展開)のCEO、ジュリア・オトゥール氏は、ザトコ氏の主張はデータ保護における各社の対策が遅れている可能性を示すものだと指摘する。企業は自社のデータに責任を持ち、安全な状態に保つ義務があることを認識しなくてはならない。オトゥール氏は「従業員が重要データにアクセスするための独自のパスワード作成を許可することで、企業はデータの制御権を失っている」と語る。
オフィスの鍵を従業員に作らせる組織はほぼ存在しない一方で、重要資産の一つであるデータにアクセスするためのパスワードを従業員に作らせる組織は存在する。「セキュリティを強化するためには、社内におけるデータ保護を徹底する必要がある」とオトゥール氏は語る。
サノス氏は今回のザトコ氏による内部告発について、「取締役会とセキュリティリーダーが、オープンで正直な報告の場や関係を持つことの重要性を示している」と指摘する。内部の利害関係者が妥協してはいけない。ザトコ氏は、取締役会へ正確な情報を報告することをTwitterの上級管理職に妨害されたと主張している。サノス氏は、「ザトコ氏によるこの主張は、全てのセキュリティ関係者に懸念材料を与えている」と言う。
ザトコ氏は、Twitter社内の脅威に対処するために同社に雇用された。「この一件は、自社のセキュリティを良くしようと変革に取り組むCISO(最高情報セキュリティ責任者)が、上級管理職から受ける干渉の例を示している」とサノス氏は語る。「セキュリティ分野における使命を重視する人なら、業界全体のために、マッジ氏が勝利することを望むはずだ」(同氏)
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
