大規模なオンラインソフトウェア会社は、従業員による会社情報へのアクセスを制限していますか?
大規模なオンラインソフトウェア会社、具体的にはGoogle、Facebook、Yahooなどの単一の大規模な製品をベースとする会社が、退職した従業員のリスクをどのように処理するのか疑問に思っていました。内部セキュリティについて十分な知識を持つ従業員は、この知識を会社に対する復讐のために使用する可能性があります。
明らかに、従業員を信頼できない企業は、単純なセキュリティの心配よりもはるかに深い問題を抱えていますが、シナリオを実行した後、Google、Facebook、Yahooは、従業員が知っていることを知る必要があるものに制限する必要があるようです。サーバー間でデータを送信するためのプロトコルを作成している従業員が仕事をするためには明らかに危険な情報が必要ですが、外部のセキュリティについて知る必要はありません。異常検出に取り組んでいる従業員は明らかにセキュリティに関与していますが、それを通過するリクエストがどのように処理されるかを知る必要はありません。言い換えると、これらの企業は、従業員に対して、コードで採用しているのと同じ原則を採用しているように見えます。
たとえば、Googleは従業員が知っていることを彼らが知る必要があるものに制限していますか?これは業界標準ですか?
大企業が従う基本的なルールは、一般的なinfosec標準(ISO27kなど)によるルール/推奨事項とそれほど変わりません。
- 職務の分離-サービスのプロビジョニング、開発プロセス、またはその他のITサービスの部分の分離。そのため、サービスの提供、開発、プロビジョニングなどのさまざまなコンポーネント/段階を担当する人々が異なります。
たとえば、1つのチームはホスティング/システムプロビジョニングを担当し、別のチームは製品開発を担当し、3番目のチームはストレージ/データベースなどを担当します。
全体として、プロセス全体が危険にさらされる可能性のある方法で1人もアクセスすることはできません。ただし、この理由だけでは十分な理由はありません(エドスノーデンの場合は役に立ちませんでした)。
- 最小特権の原則-すでに述べたように、すべての従業員には、職務を遂行するために必要な最小限の資格情報が提供されます。
これは、元の従業員や現在の従業員が情報の整合性、機密性、または可用性を損なうことによるリスクを完全に排除するのに役立たない別の方法です(ここでも、Ed Snowdenの場合は役に立ちませんでした)。
優れた資産管理プログラムを持っている-誰が何にアクセスできるかを知る。誰が次の段階で役立つものにアクセスできるかについて、現在の明確な状況を把握する。
アカウントのライフサイクル-従業員が退職したときに実行されるプロセスを配置して、資格情報が確実に取り消されるようにします。
暗号化!そして、しっかりした鍵管理プロセスがあります。
知的財産(IP)の世話をします。ソフトウェアの特許については議論の余地があり、弁護士は私が信頼したい人々ではありません。会社のIPを確実に保護すること(特許、登録、またはその他の方法で著作権で保護されています).
バックグラウンドチェック。中小企業は通常、適切なバックグラウンドチェックを行う余裕はありませんが、大企業は間違いなくこの部門で宿題を行います。
データ漏洩防止プログラム(ソリューション、手順、および監視の組み合わせ)を実行します。
これらは、従業員(または元従業員)が内部関係者の知識を使用することで引き起こしうる潜在的な損害リスクを制限する基本の一部にすぎません。従業員が知っていること(たとえば、システムアーキテクチャ、プロトコルなど)を消去することはできませんが、通常、城の鍵にアクセスできる人々は単にキャリアを始めているだけではないので、彼らをより少なくする可能性のある特性信頼できるとは、以前の雇用サイクルの一部、または保護観察期間中に現れます。
どの組織もリスクを完全に排除することはできませんが、常識的なアプローチとinfosec標準への厳密な準拠を組み合わせることで、長期的には多くのトラブルを回避できます。
大企業内の具体的な対策に関しては、その文化、ガバナンス、および一般的なリスクへの取り組みに実質的な違いがあるため、それぞれが少し異なります。特効薬はありませんが、見逃したものに対応するための優れたインシデント管理プロセスが必要です:-)