Episode 41| レッドチームの倫理観
レッドチーム演習の目的は、企業からの依頼によりその企業のセキュリティの向上を支援することでが、模擬攻撃を伴うため、必然的に顧客の社内に深く入り込むことになります。レッドチームのメンバーは、オフィスビルの受付を巧みな会話で通過し、従業員のコンピューターに侵入します。その結果、誰かをさまざまなトラブルに巻き込む恐れもあります。それでは、レッドチーム演習が倫理的に許されない、あるいは犯罪への境界線を越えてしまうのはどの時点なのでしょうか?今回のサイバーセキュリティサウナのエピソード41では、エフセキュアのレッドチームメンバーでベテランのTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)と対談しました。その中で、レッドチームはセキュリティを大義名分として業務に携わることは望んでいないこと、サイバーセキュリティの専門家には高い倫理観が必要な理由、そしてレッドチームと企業はどうすれば倫理の問題に対処できるかについて議論を交わしました。
Janne Kauhanen:Tom、このポッドキャストへようこそ。
Tom Van de Wiele:お招きいただきありがとうございます。
それでは早速始めましょう。顧客からレッドチーム演習のサービスを受注する際に、対象がその企業自体ではなく、たとえば関連するサードパーティ企業などに対して実施するよう求められたことはありますか?
時々あります。対象となったサードパーティ企業側では、そのことを知っていることもあれば、気づいていないケースもあります。たとえば、顧客がその建物を所有している、またはレッドチームのサービスに対して一定の責任を負っているからといって、必ずしもセキュリティホールのテストや侵入を試みることが許されるというわけではありません。
それはどのようにして知ることができたのですか?建物の所有者はどうやってわかるのですか?最近アメリカで話題になった事件がありました。一部のレッドチームが苦境に立たされたのですが、その理由は契約通りに任務を遂行したところ、顧客はその結果が気に入らなかったのです。
はい、その事件は非常に興味深いもので連邦法と現地の法律が対立したケースです。この事例を詳しく調べることが私たちの課題になりました。そして、私たちは絶対に法律に違反しないこと、そして最終的に顧客にトラブルが及ばないようにするために事前調査を徹底することにしました。
Tom Van de Wiele, Principal Security Consultant, F-Secureなるほど。顧客との初回の会議で議題に挙げる倫理上の懸念事項は他にありますか?
はい、通常は事前会議の聞き取りをする過程で、顧客が何をテストしたいのか、そしてその理由について言外の意味を汲み取ることができます。顧客からは常に「セキュリティ上の理由でこれを実行したい。」というざっくりとした説明がありますが、そこには必ず別の理由があります。
そこで、顧客がどの防御メカニズムに対してテストを希望しているのかを質問します。すると、顧客からは次のような答えが返ってくることがあります。「実は、私たちはこのサプライヤーが気に入らないのです。彼らを締め出すことができる唯一の方法は、極めて悪い評価を与えることです。そこで、テストは好きにして構いません。ただしこのサプライヤーに関することはすべて最低の評価にしてください」といったような内容です。
そこで、私たちは次のように反論します。「すべてのベンダーは皆同等に扱う必要があります。未だテストも開始していないプレミーティングの段階でレポートを書くことはできません」実際にこのようなことが話されているのです。
顧客がすでに知っていることを取り上げて、それをレッドチームの言葉として説明させることで第三者による報告として重みを持たせるよう依頼されることは、よくあることなのですか?
そのような依頼は時々あります。もちろん、たまには私たち自身の結論に対して、顧客の方が正しいこともあります。しかし、レポートの際に選んだ言葉は非常に具体的になるため、特定の個人は企業を批判することに使われる可能性があります。そのため、記載する内容はできるだけ詳細にし、多くの状況説明を追加するように心がけています。したがって、どのような目的であろうとも、レポートを他人や他社に対抗する手段として使われるような、白黒をつける文面にはならないようにしています。
なるほど。しかしレッドチーム演習は、多くの場合、社内の利害関係者に現状を突きつけることになりますね。それに関して倫理的な問題はありませんか?
はい、それはさまざまですと言うしかありませんね。顧客の状況はそれぞれ異なり、常に考慮すべき事情があります。
特に倫理観についてはどうでしょう。
特に倫理観については、その定義を大きくとらえると、技術的には違法でなくとも、倫理的な部分において、自分自身、他人、顧客、またはそのすべてに影響を与える可能性があります。したがって、倫理的部分がどこから始まり、どこで終わり、どこがグレーゾーンに当たるかを判断することは、同僚や顧客に対する当然の礼儀と言えるでしょう。何をするか、何をしないか、特定の条件や状況でどのような判断を下すかなどのテーマについて顧客とよく議論する必要があります。
したがって、すべての職業と同様に、情報セキュリティ、特にレッドチーム演習の業界にも当然すべきこととすべきでないことがあります。これらは最終的にベストプラクティスとして生かされます。しかし、レッドチーム演習を実施したり、サービスを提供したり、誰かの情報や業務データを読み込もうとする際のすべての考慮すべき事項を網羅した教科書などは存在しません。
だからこそ、サイバーセキュリティの専門家は、自分の行動または不作為が他人の人生、仕事、企業全体に対して、現在または将来にわたり深刻な影響を与える可能性があることをしっかりと認識すべきです。
その例を挙げてもらえますか、どこで線引きをするのでしょうか?実際にお断りしたのはどのような作業ですか?
顧客が所有していない施設やサービスに侵入するように依頼された作業はお断りしています。クラウドサービスをハッキングすることを考えてみれば分かると思います。最初に顧客の許可が必要になりますが、もし仮に許可されれば誰かのパスワードを盗み、再利用することができてしまいます。もちろん、クラウドサービスを直接攻撃することは違法ですから実行はできません。
その他の例として、ある人物を標的にした攻撃の依頼がありました。部署が小さくて従業員が少ない場合は、特定の1人または特定の部署だけを選択することはできないため、これも非常に注意が必要です。
また、時々顧客から次のような依頼が来ます。「模擬のフィッシングリンクをクリックした、またはマルウェアを実行したすべての個人のリストを提示してもらえますか?」といった依頼です。結局のところ、個人のリストそのものは重要ではありません。私たちが取り組んでいるのは、顧客のプロセス、トレーニング、テクノロジーに関するコントロールを強化し、セキュリティ対策を向上する必要があるかを見極めることですから。
顧客が社内の特定の人を解雇したり、処罰するのを助けることは私たちの仕事ではありません。私たちにとっては、すべての人は同等だからです。誰もが同じプロセスに従う必要がありますし、皆平等です。
そうですね。私が直面した出来事ですが、ある国際的な企業から、その時点では世界中でユーザが2〜3人しかいない特殊なハードウェアを評価してほしいという依頼がありました。この企業は、政府、軍隊、およびそれに類する組織ではありませんでした。「なぜこのような機器を所有しているのか?単に脆弱性が分かればよいのか?どのような状況なのか?」という疑問が湧きました。結局、この案件はお断りしました。
なるほど。それは顧客が何らかの情報を探しているのかもしれませんね。これにより、この組織自身にGDPRの問題が発生する可能性がありますね。そのような情報を所有したり、その情報をセキュリティ対策やデータ分類を施していない外部に保管するだけで問題が発生する可能性があります。
したがって、レッドチーム演習の一環として、機密情報を搾取したり受け取ったりすることになる場合は、事前に議論することが非常に重要になります。どこに保管しますか?保管する必要はあるのでしょうか?レッドチームが顧客のデータベースにアクセスできることを示す必要がある場合は、データベース自体には興味がないので、いくつかの数値を教えてくれれば、アクセスしたことを証明するためにデータの特徴を説明します。その時点から、顧客側チームの実戦力をテストする方法を見つけ出します。そして、実際のデータベースではなくともそのように見える情報またはデータの一部をダウンロードします。そのようにして、管理状況をテストし、グレーゾーンを避けます。
それは理にかなっていますね。私は、最近発生したエッジでの事例をTwitterで見ました。すべての従業員が在宅勤務をしている企業から、ホームネットワークにおけるセキュリティテストを依頼することについての議論がありました。このような依頼については、積極的に引き受けようと思いますか?
いいえ。どのような組織がそのような依頼をしているのでしょうか?ホームネットワークはホテルの部屋、空港、またはあらゆる公共の場所とほとんど変わりはありません。そこでのネットワークの利用はウイルスに感染することを前提に考えるべきです。
企業がノートPCやあらゆる種類のデバイスの安全性を強化するのはそのためです。社外に持ち歩いたり、自宅やほかの場所で使っていても、ハードディスクは常に暗号化し、VPNを使用し、どのようなサービスを利用しているか確認する。これらのことが確実に実施されるようにすべきです。
ホームネットワークでも同じことです。つまり、すべてのホームネットワークが細心の注意を払われているわけではなく、安全性を保つために関わっている人員数も異なります。当然ながら、侵害されていることを前提にする必要があります。ホームネットワークは通常の作業環境とはかけ離れているのです。それに対してテスト依頼をするとは、どのような組織なのか良く分かりません。
そうですね。私にも分かりませんでした。ノートPCを社外のどこでも使用できるのであれば、家庭だけでなくすべての社外の場所が同等だと言うことですね。
その通りです。国防関連の省庁に勤務している場合は、ホームネットワークに対するテストが必要になる場合もあるかもしれません。しかし、それはおそらくすべてのユースケースの1%程度に過ぎないでしょう。
企業が何をテストすべきか分かっていないケースもあります。これは前にお話ししましたが、レッドチームを受け入れる準備ができていないのです。サイバーセキュリティに携わる人々は、高い倫理観を持っていることが求められます。レッドチーム演習を実行する前に、それ以外の取組みを発案できたり、成熟度を上げる努力をすべきで、模擬攻撃を検出または対応できないことを覚悟しておくことが必要です。
したがって、ホームネットワークへの侵害を考慮する場合は、ホテルの部屋や空港と同じと見做してください。そうすることで、外に出て脅威モデリングとリスクモデリングを実行できます。
なるほど。それでは次に、依頼を引き受けてサービスを実行するとしましょう。レッドチームはフィッシングメールを送信し、従業員のコンピューターにマルウェアをインストールし、身分を偽って建物に入り、機密区域に侵入して脆弱性を発見し、セキュリティを向上する支援を行います。さて、倫理的な境界線はどこにあるのでしょうか?どのような活動が限界を超えることになりますか?
何よりもまず、現地の法律、連邦法、国際法に従う必要があります。それが一番重要なことです。
それが本物の攻撃者とレッドチームの最大の違いの1つですね。私たちは常に法律に縛られています。
その通りです。しかし、実行できない攻撃があるからといって、私たちの攻撃が効果的でないということではありません。たとえば、個人情報の窃盗を考えてみましょう。顧客にリスク軽減戦略を提案して、「これが攻撃を検知して対応する方法です。そして、これが予防策です」と説明しても、実際にそれらを実行しなければならないという意味ではありません。
私のお気に入りのたとえ話をすれば、火災の安全を試すために火災警報器を鳴らす必要はありません。これは同じことです。つまり、常に法律の範囲内であることを確認したいのです。もちろん、それに伴い、すべきこととすべきでないことがあります。
個人的な生活空間に侵入することはできません。たとえ、ある国ではそれが合法だったとしても、私たちは嫌悪感を抱く行為は実行しません。しかし、裏庭に入り込み、あらゆる種類のIT攻撃やサイバー攻撃などを実行しようとして家の中まで侵入する者もいるのは確かです。
したがって、私たちがしなくとも「個人的な生活空間に侵入する」人々は存在します。私立探偵がその権利を持っていたり、その行為が法律の範囲内に収まっている国もあります。
無線の電波に関しても同じことが言えます。特に受信だけでなく、送信する場合も細心の注意が必要です。人に対するあらゆる種類のコミュニケーションに関しては、手紙であれ、Eメールであれ、厳格な法律がいくつもあります。
思いつく違法な行為はすべて、レッドチームでも実行しようと思えば可能ですが、どこかで線を引く必要があります。私たちは、非常に詳細な個人的情報に関しては、それを使用することはありません。それでも問題はありません。後でレポートに記載する必要があることも考慮すべきで、他のテストを行うためにも、ある程度は開示する必要があります。だからこそ、私たちは物事を見て、ある情報は上手に記憶から消し去ると共に、要点をしっかりと証明できて、人や組織をトラブルに巻き込まないような良いシナリオを採用しています。
それでは、あなたの個人的な倫理観について教えてください。たとえば、受付係と親しげに話をしているとします。その係員に嘘をついていることに対してはどう思われますか?
そうですね、犯罪者は同じことをするでしょう。情報を盗んだり、資金を不正に送金したり、彼らは狙ったことは何でも実行に移すでしょう。私は、そのプロセスに取り組むために受付を訪れているのです。
通常、私たちは企業が受講しているセキュリティ意識向上トレーニングや、従業員が従うべき規定を理解したうえで、従業員がさらに良く知るべき例を探し出します。受付を通過するために罪のない嘘をついたり、あらゆる言い訳をすることに対しては、企業の規則によって入館が許されないケースがあったり、特定の情報提供の要求に対しても何らかの方法で対処できることが一般的です。そして、私たちはその間のグレーゾーンを見つけようとします。そこに規則などはなく、手順やプロセスはガイドラインで代替されており、従業員が自分自身で考えなければならない状況があります。
通常、このような状況において問題が発生する可能性がありますが、犯罪者が付け込む隙もそこにあります。それが、私たちが再現しようとしていることです。しかし、繰り返しますが、私たちには受付を突破するための良識的なさまざまな方法があります。
その中でも特に極端な方法を挙げましょう。何らかの医療サービスに従事しているように見せかけて、家族や友人、または配偶者が深刻な健康状態にあることを告げます。この場合、確かに当人に注目が集まることになるでしょうが、短期的または長期的に誰かを傷つけたりするようなことではありません。多少の不快感を与えることは許されるでしょう。おそらく、私たちはある種の感情を呼び起こそうとして、人々を多少当惑させるかもしれませんが、その間、人々に何かを吹き込んだり、害したりすることはありません。
はい、分かりました。たとえると「お届け物があります」と言うのと、「お父さんがお亡くなりになりました」と言うのはまったく異なるということですね。
たとえば、「先ほどCEOが逝去しましたので、あなたの株式持分に関するこのメールをクリックしてください。」というようなEメールを実際に見たことがあります。私たちはこのようなことはしません。もっと効果的で気の利いた方法がいくつもあるからです。
ところで、あなたは国際的な企業を顧客にしていますね。さまざまな国々でレッドチーム演習を実施していると思います。演習において、地理的および文化的な違いは、倫理的なものとそうでないものの考え方にどのように影響していますか?
異なる国、異なる文化の間には明確な違いがあります。もし、私の前にあるノートPCにあなたがパスワードを入力している場合、私は礼儀として目をそらし、「私はあなたのパスワードには興味がありません。それはあなたの個人情報ですから。」ということを態度で示します。
しかし、そのようなことに無頓着な国もあります。自分がパスワード入力中に、そばにいる人に見ないように頼むと、少し困惑して「なぜですか?私たちは同僚なのに。」と聞かれることもあります。
国によってそのような違いがあることを経験してきました。また、会社での地位が非常に重んじられ尊敬される国においては、態度如何によっては面目を失うこともあるので、絶対に避けなければなりません。したがって、時としてテストすることが非常に難しいシナリオも出てきます。
たとえば、あるITシステムに脆弱性を発見し、お客様に口頭で報告したところ、報告書には記載しないように頼まれたことがあります。システムを担当したプログラマーグループの名誉や尊厳にかかわるからと言うのが理由です。
したがって、この情報を顧客に提供する適切な方法を見つける必要があります。それは顧客がその情報の対価を支払っているためですが、報告する方法はいくつかあります。
それは大変興味があります。
こういうことは実際に起こるのです。たとえば、顧客からパスワードスプレーまたはパスワードスタッフィングと呼ばれる方法で侵入できるかどうかを尋ねられたことがありますが、一連のパスワードを推測したり、誰かが使用したさまざまなサービスから漏洩したパスワードを再利用することができます。
テストの一環としてこの手法を試します。たとえば、本当に簡単なパスワードを使用していることが判明したとします。レポートが人を傷つけるようなことはしたくないので、パスワード自体はレポートに含めません。そうしないとレポートを入手すれば、これらの人々のサービスにアクセスできるからです。
もちろん、一般的な更新手順の一環として、セキュリティテストの後にはパスワードを変更するように指導しています。しかし、それまでの時間枠内では、誰かがそれらのサービスにアクセスできるリスクがあるにも関わらず、だれもその責任を負わないという倫理的な問題になる可能性があります。だから、私たちはこのような厄介な状況は回避するようにしています。
なるほど。私はパスワードダンプで実際のパスワードを見るのも好きです。最近、大量のパスワードダンプを見たのですが、ある下院議員のパスワードで、「I love Rebecca」というものがありました。ウィキペディアを調べると彼の奥さんの名前はLisaでした。恐らくこの家では気まずい会話が交わされていることでしょう。
厄介なことになるでしょうが、なんとかごまかそうとするでしょうね。私たちは特定の会社の特定の部門を対象にする必要がありますが、その部門が顧客向けの一連のサービスへのアクセスを担当している状況を見てきました。これは、どのような理由であれ極めて重要なことです。
つまり、特定の部署だけを対象にする必要があり、そこの部員は特定の携帯電話やノートPCしか所有していません。これらのノートPCと携帯電話から出ている信号を観測中、レッドチームのメンバーが真夜中に偶然にも誰かのデバイスから出ている信号を見つけ、そのWi-Fiが以前、市内で最も大きな風俗店の2店に接続していることが分かりました。
この事実は決して口外することなく、レポートやあらゆる種類のデータトレースに残さないようにする必要があります。これは、レッドチーム演習のプロジェクトには無関係だからです。だからこそすぐ忘れる方法を学んでいるのです。
はい、分かりました。技術面ではどうですか?インターネットや公共の無線は合法です。さまざまな国によって違いがあるでしょうが、たとえば、ポートスキャンを実行してもよいか、会話を傍聴しても大丈夫かどうか。
もちろん、それは非常にデリケートな問題です。なぜなら、会話を傍聴するということになると、どの国にいても制限されているからです。繰り返しになりますが、あるものは法の範疇内にあり、あるものは法の範疇外になります。
80年代に育った私は、当時中国製の携帯電話の最初のモデルを何度か使ったことがありました。その電話からは隣人の会話が漏れ聞こえたのですが、それは両者の電話が同じ周波数を使用していたからでした。実際に2人の会話を盗聴してはならないという法律はありませんが、私の場合は、たまたま電話をかけたら聞こえたのです。あなたは法律を破ったことがありますか?あるかもしれませんね。でもそのことを誰にも話さなければ、倫理的な領域に留まることになります。
同様にして、私たちがレッドチームの業務を行うときは、法律に従うように注意を払う必要があります。私たちは、デジタルの世界または現実の世界のいずれかであっても、誰かの隣で会話を聞くことに関しては、法律を逸脱するのか、自分が何をしているのかを良く理解しています。
たとえば、その会社が買収される予定で大規模なレイオフが起こったり、新たな主力製品またはサービスが発売されるといった話を聞いた場合は、これらのことは聞かなかったこととして忘れてしまうのです。とにかく口を閉じておきます。
家に帰って家族などにも話はしません。このような情報を人々が知って誰かに共有すると、ある種の金銭的利益または損失が発生する影響を与える可能性があるためです。だからこそ、本当に注意する必要があるのです。
また、ポートスキャンについても話題になりましたね。パブリックドメインに関係するものはすべて非常にデリケートな領域になります。公開情報に関しては法律がないからです。
もし、YouTubeの動画を一つひとつ取り上げ、それを機械学習ライブラリを使うと、動画に登場している人物を識別したり、その人物が他の複数の動画いに登場したかどうかを顔、体形、声で関連付けることができます。あなたならその情報をどう活用しますか?これを保管することは合法でしょうか?所有するのは倫理的なことですか?盗まれる可能性はありませんか?悪用される可能性はどうでしょう?もちろんあります。したがって、このようなデータは欲しくないと思うこともあるでしょう。そのような状況は避けたいものですが、この種のルールを曲げようとする人もいます。
とても興味深い話ですね。一般に公開されている情報に関しては、ほとんどOSINT(オープン・ソース・インテリジェンス)を使用しているでしょう。OSINTは、一般に公開され利用可能な情報を情報源にしています。ただ、本来意図していない方法で使用しているだけです。デジタル資産で何かを調査する際に、疑問の余地のある、または非倫理的な領域に踏み込んでしまうことがあるのでしょうか?
そこはまさに議論の余地があるところです。私たちはそれをポートスキャンで使用しました。人々は研究やその他の目的でインターネット全体のポートスキャンを行っていますが、それは良いことでしょうか、それとも悪いことなのでしょうか?また、時代の動向も見なければなりません。
つまり、過去に遡れば、インターネットのポートスキャンは、誰もその実態を知らなかったのですが、それでも冷ややかな目を向けていました。これは単なるパケットであり、単なる情報のかけらに過ぎないと言えます。しかし同時に、私たちは意図的であれ偶然であれ、どのようなシステムがインターネット上にあるかを知ることができます。したがって、それは何らかの影響を及ぼします。
インターネット全体をやみくもにスキャンし続けると、ある種の影響が生じるのです。たとえば研究目的でスキャンを行う場合は、探しているものを正確に知る必要があり、何かに遭遇するリスクを軽減しなければなりません。「何かがダウンしても別に気にしない」と言うようでは、想像もしない結果をもたらすことになってしまいます。
たとえば、オンラインで繋がった病院のベッドや工場がダウンするかもしれません。「それはインターネット上に置くべきではなかった。そうすれば大丈夫だったのに。」と誰かが言うかもしれません。しかし、それは、自分の行動の結果を考慮せずに、現実から目をそむけて自分自身を甘やかしているようなものです。
その通りですね。それでは、見過ごすことができない場合はどうしますか?一部の情報と接触した明確な監査証跡があるとしましょう。それが定めたスコープの範囲内の非常に機密性の高いデータであっても保持すべきではないと思いますが、この場合はどうしますか?
もちろん、その場合は顧客と話し合うべきです。顧客が同じ状況を過去に経験していれば、その時に何らかの方法で対処できたかもしれません。その方法を検討するのも良いでしょう。そのような経験がない場合は、その会社の法務部門と相談して、どのような影響があるか、またはその時点で何がしかの決定を下す方法について法的助言を求めます。
それは非常に難易度が高いように聞こえますが、何が合法で何が違法なのか、そしてレッドチームが署名したNDA(機密保持契約)が実際にそれをカバーしているかどうかを確認するだけで十分です。
時には、NDAに附則を追加する必要があります。私は実際にこの状況に遭遇したことがあります。偶然にも、私が持っているべきでない情報を取得したのです。しかし、署名した附則には次のような記載がありました。「私は当該情報については正式に記憶に留めません。どこにも保存しないことをここに約束します。他に漏らしません。」通常はこれで終了します。
しかし、たとえば、あるものをダウンロードしようとして、実際には別のものだったことが判明したが、すでにこの情報をデジタルで保持しているとしましょう。その情報のコピーを作成していない、または破棄したことを何らかの形で顧客に証明する必要がありますか?その場合、どのような方法をとるのですか?
もちろん、それを指示あるいは強制することは困難です。そして、次のような顧客への発言は倫理観に縛られます。「私はその情報を削除しました。これは、削除するために購入したソフトウェアの領収書です。」それが本当に科学捜査的に回復不能であり、それですべて決着したことを確認します。できる限りの予防策を講じて、データを回復できないようにします。そして、他人がその情報を取得することがないようにする必要があります。
よく分かりました。次に、レポートについて先ほど少し触れましたが、もう少し詳しく話しましょう。テストが完了してレポートを作成します。その際、弱点や脆弱性を企業に伝える方法について倫理的な懸念はありますか?
はい。前述したように、それが少数の人々である場合は、人を特定しないこと、部門を特定しないことは非常に重要です。そのため、レポートに個人名をフルネームで記載すべきではありません。また、たとえイニシャルだけであっても人物が想定出来てはいけません。
そうは言っても、誰かのワークステーションに侵入できた場合は、顧客の同意のもとに、その持ち主はパスワードを変更する必要があるのは当然のことです。したがって、顧客はその人物を知らなければなりませんが、レポートに記載する必要はないのです。たとえば、顧客との会議や打ち合わせで、パスワードを変更する必要のある人物を指定できますが、一方で通常のパスワード変更プロセスの一部として実行する方法もあります。そうすれば、誰かを名指しする必要もありません。
したがって、フルパスワードやフルネームなど社内の個人を特定できる情報をレポートに記載する必要はありません。もちろん、評価テストの最終結果とレポートの良し悪しに関係なく、テストを実行したコンサルタントは、セキュリティの弱点や脆弱性に関して全体像を考慮する責任があります。サービスの利用の有無も考慮し、すでに情報を漏洩している可能性があるIT資産も念頭に置きます。この点については留意すべきです。
また、コンサルタントは企業にとってはゲストであることを忘れないでください。壁に耳あり障子に目ありです。正式にドキュメントで報告されていない情報も、別の場所に持っていくことはできます。したがって、その会社について学んだことで、厳密にはレポートの一部ではないものはできるだけ早く忘れ去るべきです。
しかし、先ほど申したように、問題があるかもしれない事柄については、レポートに記載することを倫理的に義務づけられています。犯罪、詐欺、横領などを見つけた場合は、会社に報告する必要があります。そして、法的措置がとられなければなりません。そうしなければ私たち自身で対処する責任が生じます。それは絶対に避けたいことです。
ですから、結局のところ、適正な行為と合法的な行為の組み合わせになります。この議論がかなり長期にわたって続いているのは、合法だからといって、必ずしも適正だとは限らないからです。ですから、私たちはあらゆることを自力で行い、自分とお客様をトラブルに巻き込まないようにし、お客様の利益を常に念頭に置くようにしたいと考えています。
次に、このようなサービスを利用する企業へのアドバイスがあればお願いします。企業が直面する倫理的懸念に対処し、担当するレッドチームが現地の法律や文化的規範の範囲内で倫理的に行動するために、企業に対して何を勧めますか?
そこでは経験が役に立ちます。したがって、演習を実行する前に、ロールプレイングを取り入れ、プロジェクトのさまざまなステージを通してシミュレーションすることをお勧めします。情報を取得することから、その情報を悪用するまで、また、ある種の足がかりを得て、会社のネットワーク上を動き回り、侵入拡大することで、目的の情報を探し出します。
そしてもちろん、この弊害として、技術的に必要のない情報に遭遇します。そして、その情報を引き出したり、顧客のレーダースコープに同様の影響を与えるようなプロセスを実行します。
どのような状況やどのような情報に遭遇するか、何が公正で、何が不公正かについて、簡単なリスク評価を行います。そして、そこには、行動を通じて、および実際にレッドチーム演習を実行する際に知っておくべきかなり詳細なリストができあがります。
たとえば、金融業界では多くの企業がレッドチーム演習を実施しています。そこでは、オフィスや営業店の内部に入ろうとする人に対処することになります。銀行は、誰かが施設内に入ることができるかどうか、そしてそれに対するセキュリティ投資が理にかなっていることを確認したいと考えています。
この段階で常に質問が生じます。それは、私たちが出会う受付係は、何らかのトラウマを抱えていたり、ある種の事件、強盗などに出会った経験があるかと言うことです。もしそのような経験がある場合は、別のオフィスを選択するか、あるいは別の受付係がいる時間帯を確認します。少なくともそれらの人々のトラウマ体験をフラッシュバックさせたり、追体験させようとは全く思わないからです。この演習を実施する相手については常に注意を払っています。そこではセンスの良さも問われます。
はい、それはよく分かります。サービスプロバイダーからその種の懸念を抱いていることを聞いたことがあります。おそらく彼らには倫理的な考え方がある程度根付いているのでしょう。
私たちはカウボーイがいるような荒っぽい会社に乗り込んで仕事をする訳ではありません。そこで働いて家族を養い、自分の業務を全うしようとしている生身の人々に相対しているのです。
それは重要なポイントですね。しかし、相手がバグ報奨金プログラムやハッカソンの参加者の場合はどうでしょう。あなたが彼らと直接コンタクトすることはないかもしれませんが、彼らは機密情報にアクセスする能力を持っていますね。
それは大変悩ましい問題です。もちろん、参加者をすべてレポートに書き出すことはできます。バグバウンティプログラムの位置づけとしては、すべてのセキュリティプロセスと環境がすでに整っている場合には、現在のセキュリティの取り組みや脆弱性管理などに取って代わるものではありません。
しかし、その参加者が苦労してプログラムの契約条件に目を通したうえで、最終的に本番データベース、顧客、知的財産、またはその他の種類の情報にたどり着いた場合は、利害関係者全員にその旨を通知する必要があります。その情報が悪用されたり、誤用されたり、会社が予期していないことが起こるリスクがあるからです。
これは重要なポイントになります。データ保護の観点からすると、消費者または企業顧客としてのエンドユーザは、レッドチームまたはさまざまな種類のセキュリティ評価サービスを利用することができますし、ソフトウェアやハードウェア、作業方法、プロセスなどを通じて自分自身でデータを保護することもできます。しかしそれは、ソフトウェア、ハードウェア、そしてそれらを作成するプロセス、あるいはレッドチームの誰かにデータを露出することでもあります。
したがって、データを安全に保管したいと思うわけですが、保管の安全性をテストするには、誰かが侵入できるかどうかを確認する必要があります。そして侵入できれば、その人はデータを見ることになります。
そのため、バグ報奨金プログラムやレッドチーム演習を実施するときには、それらが本質的に持っているリスクを把握すべきです。そして誰かが防御網を突破し、知られてはならない情報にアクセスした場合に、どのような規定が適用されるのかを知っておくべきです。
よく分かりました。今回は倫理観に関す複雑な問題に取り組む手助けをしていただきありがとうございました。
今日は、お招きいただきありがとうございました。
カテゴリ