昔、「うちは高度な技術力がある」との自負のあるベンダーさんに世話になっていたことがある。
しかし、他社に比べてセキュリティが甘いなという印象があり、それを進言したら疎まれ、契約を終了されるというか。まあそれだけでは無いんだろうけれど・・。
技術に関して高度な俺たちにたかだかフリーランスが何言ってるんだ、という考え方だったんだろうかなと思う。そんな態度取られたし。
そのベンダーの中でもCIO直属のチームで携わっていた案件があったのだが、その案件で情報漏洩の事案が発生したことをニュースで知った。
そう考えると、今回の情報漏洩事案、なるべくしてなったのではなかろうかと思う。
具体的にセキュリティ的に甘いと感じたところだが
・SSH接続時、ユーザIDとパスワードのみで、証明書を使っていなかった。
・複数の協力会社が同じIDでSSH接続していた。また、どのサーバも同じユーザIDとパスワードであった。
・踏み台サーバが用意されておらず、どのサーバにも外部IPから直接アクセスできるようになっていた。
といったところだ。
異動や退職者が出たところでそのままにしていたようなので、もうどこから漏れたかは分からないだろう。
上記のような状態なので、今回の問題で私は容疑者にされているのではないだろうか。そのうち連絡が来るかもしれない。