皆様お待たせ「 PWNED(やられちゃった)」の時間だ。システムのセキュリティを確保するという当たり前のことができなかった人々を晒し上げる週刊コラムへようこそ。パスワードやアクセス権限を丸出しにした誰かさんがいれば、ここで取り上げさせていただく。
「えっ。うちの会社、セキュリティやばすぎ」って話があったら教えて! pwned@sitpub.com までドシドシお寄せください。ご希望により匿名での掲載も可能です。
今週のセキュリティ意識ゼロの恐怖物語は、Aegis Cybersecurity 社の CEO 兼 主任コンサルタント、ルーク・アーウィン氏の提供だ。彼はこの業界で四半世紀以上の経験を持ち、どこに地雷が埋まっているかを熟知している。
アーウィン氏がかつてコンサルティングを行った企業は、清掃、警備、産業用高所作業(建物外壁の清掃)など、大企業が施設を円滑に運営するために必要なサービスを提供する、従業員 2,000 人規模の全国規模の大手施設サービス会社だった。
同社の CEO は、自社のシステム管理について実に素敵なアイデアを持っていた。全従業員のログイン認証情報にアクセスできるようにしたいというのだ。
この経営者は、自分の PC のデスクトップに、全従業員のユーザー名とパスワードの完全なリストを記載した Excel スプレッドシートを置いていた。ちょっと考えてみてほしい。たった一人が、城の全ての鍵を、簡単にアクセスできる単一のファイルに保存していたのだ。
