編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

Twitterのセキュリティ担当者の今後の作業

文:Adam O'Donnell(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-01-08 13:04

 Twitterは過去数日間、フィッシング業者とハッカーたちの両方の攻撃に対処しなくてはならなかった。私は以前彼らと同じ立場にあった者として、彼らのセキュリティチームに深く同情しており、彼らがやらなくてはならない仕事の量を理解している。ここでは、あるサービスのセキュリティについて、緊急に判断をするという経験がない人のために、しなくてはならないことを想像できるよう、仕事のリストの例を作ってみた。

 1月第1週の週末、Twitterはまず複数のソーシャルネットワークにまたがるフィッシング攻撃による打撃を受けた。この最初の攻撃が行われている間に、サポート要員の1人のアカウントが総当たり攻撃によって破られ、部外者にTwitterのバックエンドへのスーパーユーザー権限によるアクセスを許してしまった。

 チームはこの出血が止めることができたら、ネットワークとシステムのセキュリティの基本に立ち返り、従業員とユーザーのセキュリティポリシを改訂しなくてはならない。ユーザーの不満を最小限に抑えるため、ユーザーのセキュリティポリシは、通常のユーザーアカウントに対するものと、注目度の高い、破ることによって得られる価値の高いアカウントに分けて検討される必要があるだろう。セキュリティの原則について関係者の合意が取れたら、彼らは以下のような行動を取ると考えられる。

 今後数日間については、次のようになるだろう。

  • すべての従業員のアカウントについて、「1Password」やNortonの「Password Manager」のようなパスワード管理ソフトを購入する。この準備ができたら、パスワードの複雑さに関する非常に厳密なポリシーを実施し、従業員にそのソフトウェアを使うことを求める。
  • 価値の高いアカウント、つまり有名人や政治家、その他の影響力の強いハブとなっているアカウントを特定し、監視する。

 また、今後数週間は次のようなことが行われるだろう。

  • 価値の高いアカウントに対しては、アクセスとパスワードの再設定にSMSと電子メールのトークンの両方を使った2ファクタ認証を導入する。
  • Twitterの従業員のアカウントを、管理用アカウントを分離する。管理用アカウントをVPNアクセスで保護されている、別の監視されているウェブサーバに分離し、やはり2ファクタ認証を導入する。
  • パッチ管理、監視、緊急対応手順などを含む、ネットワークとシステムの伝統的なセキュリティポリシを確立する。
  • ユーザーからの要求があった場合にアクセスできる別の認証トークンを作り、この認証トークンを使ったユーザーのプロファイルに対する一時的な、読み出しのみのアクセスを許可する。このトークンは、Twitterのコンテンツ分析を行う第三者アプリケーションに渡すためのものだ。
  • iSec Partners、IO Active、Matasanoなどの第三者セキュリティ企業と契約し、ユーザーに直接接するすべてのコードを監査する。

 次の数ヶ月間に行うこととしては次のようなことが考えられる。

  • 価値の高いアカウントに対する専用のサポートを提供し、段階的なポリシを設定する。
  • 価値の高いアカウントの所持者に対しては、異常検出方式による警告機能を提供する。例えば、アカウントに対し短時間にあまりにも多くのIPアドレスからアクセスがあった場合には、SMSメッセージを送るなどする。
  • 第三者による監査で発見された、すべての影響が大きい問題や確率の高い問題を修正する。

 上記のリストは完全なものでも、正式なものでもないが、Twitterのセキュリティチームが直面している作業の量について、イメージがつかめるのではないだろうか。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]