McAfeeのCTOであるSteve Grobman氏は米ZDNetに対して、脆弱性の定義はソフトウェアという枠を越える必要があると語っている(同氏が話をしてくれたのは、McAfee自身の失態が明るみに出た11月半ばよりも前のことだった)。
Grobman氏は「脆弱性について考える際、われわれは『Apache Struts』といったソフトウェアの脆弱性にのみ目を向けるべきではなく、誰かが『Amazon S3』のストレージ(バケット)にコンテンツをドロップするといった、アクセス制御の誤用による脆弱性についても考える必要がある」と述べている。
「データの漏えいや喪失における問題の一部は、データがいったん外部に流出すると、元に戻す方策はないに等しいというところにある。チューブから出た歯磨き粉はチューブに戻せないのだ」(Grobman氏)
とは言うものの、意図せずデータを漏えいさせてしまう企業の数は増え続けている。Levy氏によるとこれは、すべてが接続されるようになってきている世界において、ソフトウェア分野での活動を迫られている企業に与えられた副産物だという。
Levy氏は「これは、極めて新しいことだ」と述べたうえで、「30年にわたって事業を続けてきている人々であっても、その事業がソフトウェア関係でなければ、この種の概念や本質には疎いはずだ」と述べている。
「AWSの鍵がGitHub上で公開されてしまうような、数多くの問題が起こっているこの世界で、人々がソフトウェア関連の正しい作業方法を学び、習慣として身につけるようになるまで、こうしたデータ流出事件はなくならないだろう」(Levy氏)
「事件が人々の教訓となり、組織内のリーダーたち、そして役員たちでさえもこの種のことを学び始めていると期待したい」(Levy氏)
Burgess氏によると、社内の人物による脅威は最近出てきたものではなく、これまでよりも速いペースで発生するようになってきているだけだという。
またGrobman氏によると、社内の人物による脅威に対処するうえでの課題は、技術上の問題だけでなく、ポリシーにまつわる問題を解決する必要がある点にあるという。
同氏は「社内の脅威とは何なのかというと、それは明示的に与えられた許可や権限を悪用する社内の人間だ。このため、権限を与えられた人物が、実際に作業を進めるうえで適切なことを行っているのではなく、悪意のあるアクティビティを行っているかどうかを識別するのがとても難しくなる」と述べている。
「何よりもまず、企業は最小権限の法則を旨とする必要がある。私が見てきた悪用のなかで最も多かったのは、実際に作業するうえで必要とならない能力や機能へのアクセスを許可してしまうルーズなポリシーが存在するため、あらゆることを可能にする自由裁量権が簡単に与えられてしまうというケースだ」(Grobman氏)
