このデータ侵害は、以前勤めていた会社で経験した出来事を思い出させます。従業員のパスワードが漏洩し、ハッカーが会社のデータ資産とコードを悪意ある目的で悪用するのを目の当たりにしました。これは2017年の大きなニュースで、検索すれば分かります。このような状況で解雇されたとしても、軽微な違反に過ぎず、中には刑務所に入った人もいました。
その後、私はこの脆弱性に対処するためにセキュリティチームに異動しました。同様の問題に対処するため、Pythonでプログラムを開発しました。企業関連のキーワードをいくつか手動で設定し、GitHubなどのAPIを毎日検索しました。企業関連情報が見つかった場合は、すぐにメールでアラートを送信し、その後手動で確認しました。このようなシンプルな戦略にもかかわらず、ほぼ2ヶ月ごとに漏洩を発見していたことに驚かれるかもしれません。
高度な技術は必要ありません。中規模企業や大規模企業であれば、自社を守るためにこのようなシステムを導入すべきです。CSDNはプラットフォームとして、作成者に警告する検出メカニズムを備えるべきです。Githubはすでにいくつかの取り組みを行っています。
多くの開発者はセキュリティ意識が非常に低いように思います。何を秘密にすべきか理解しておらず、秘密鍵と公開鍵の違いも理解しておらず、Gitの使い方さえも理解していません。パスワードが分かった後、パスワードを削除するコミットを送信するのです。一体どういうこと… 4/n
このトピックについては以前にも記事を書きました:[職catcoding.me/p/avoid-mistak…co/2TccYUbe0B) ですが、十分に網羅的ではありません。セキュリティは広範なテーマなので、参考までにいくつかのケーススタディをご紹介します。特に、自分のコードや仕事が多くのユーザーに影響を与える場合は、仕事に対して敬意を払う姿勢を忘れないでください。小さなミスでも大きな損害を引き起こす可能性があります。
入社時だけでなく、その後も定期的に安全研修を実施する必要があります。たとえ簡単な安全原則であっても、従業員に常に浸透させる必要があります。企業にとって、最も危険な状況は避けるべきです。従業員数が一定数に達すると、従業員数の下限がどこなのか分からなくなります。
思いついたことは何でも書き続けます。会社名は伏せました。このセキュリティ問題は大きな欠陥です。深圳の確立されたサプライチェーンとこれまでの技術的専門知識のおかげで、同社の製品は主に米国で販売されています。アメリカ人は同様の製品を作るのが得意ではありません。そのため、このデータ漏洩は常に疑問視されており、米中貿易戦争の影響で、中国も米国のサーバーにデータを保存しないよう要求しています。6/n
ハードウェア企業のインターネット部門として、この2、3年間は、問題の整理、修正、パッチの適用に多くの時間を費やしました。Amazonの利用を徐々に減らし、可能な限りAlibaba Cloudに移行し、Alibabaの海外サーバーも活用しました。最悪の事態にも備え、米国のサーバーがすべて停止した場合に備えて、ヨーロッパのAlibaba Cloudノードにサーバー群を既に展開していました。
当社は米国のブラックリストに載っているという噂は以前からありましたが、正式にブラックリストに掲載されるまでには長い時間がかかりました。そのため、その間、当社はパニックに陥り、是正措置と自己点検を繰り返していました。
疲れ果てていましたが、当時の貿易戦争は、稀有な歴史的瞬間を目の当たりにしているような気がして、仕事へのモチベーションをいくらか高めてくれました。何年か経って貿易戦争を思い出す時、きっと疲れ果てた体を家に引きずり込み、横たわった時のあの感覚を思い出すでしょう。
さて、セキュリティについてお話しましょう。当社のコアビジネスはハードウェアであるため、当然のことながらネットワークセキュリティ対策やツールの調達が必要となり、私はそのプロセスにかなりの時間を費やしました。製品の評価と、セカンドパーティベンダーとの連携による社内導入を担当しました。このプロセスを通して、強力なファーストパーティベンダーであるセキュリティベンダーが、いかにケチなのかを痛感しました。もちろん、企業として考えると、こうしたケチさは必要であり、コスト削減も不可欠です。
私が特に嫌悪するのは、自社の評判を悪用する慣行です。多くのメーカーは、この優位性を最大限に活かし、サードパーティメーカーを著しく抑制しようとしています。製品の試用期間は、購入プロセスさえ経ないまま、何度も延長され、時には1年半近くも延長されることがあります。試用期間が本当になくなる頃には、3社か4社から選んで購入プロセスを開始しなければなりません。中には、後回しにされる運命にある企業もあるのも無理はありません。
コードスキャンを例に挙げましょう。このツールは国内外の多くのメーカーから提供されています。海外製品は当然除外しましたが、国内製品は大手企業とスタートアップ企業の両方から提供されていました。私は両社の製品をそれぞれ少なくとも1年間試用しましたが、試用期間を延長するためにメールを送るのが恥ずかしくて、ついに購入を決めました。長い交渉と他のチャネルでの交渉を経て、最終的な価格は信じられないほど安くなりました。12/n
言い換えれば、このセキュリティツールセットの価格は、中堅セキュリティ開発エンジニアの月給とほぼ同等です。B社にとって、これほど長く困難な交渉と、試行錯誤に膨大な人員を投入した後、最終的にこの価格で合意に至るまでの道のりは、どれほど困難だったか想像に難くありません。しかし、合意できた方が、できないよりはましですよね?最終的に、私たちは契約を締結しました。13/n
このプロセスの中で、私と同僚はサードパーティ市場からの隷属的な扱いを幾度か経験しました。その中には実に微妙なものもあります。例えば、同僚が犬好きだと知って、ある女性営業担当者が週末にランニングや犬の散歩に誘ってくれたり、別の女性営業担当者が夕方にコーヒーに誘ってくれたりしました。もちろん、私たちは皆、勤勉なプログラマーで、内気なところもありました。
ですから、購買部門の人たちがどれほど多くの誘惑に直面していたかは、よく理解できます。ある年、購買部門のかなりの数の人が逮捕され、投獄されました。彼らの多くはサプライヤーから賄賂を受け取っていただけでなく、会社を操って粗悪品を販売していた人もいました。後になって、購買部門の入社研修に刑務所見学が含まれていたと聞きました。
過去に損失を経験していない企業がセキュリティ対策を真剣に取り組むのは難しいものです。当時私が勤めていた会社は長年ユニコーン企業として国内外でよく知られていました。しかし、この重大なセキュリティインシデントが発生するまでは、セキュリティ管理は極めて後進的でした。そして、それが技術革新を標榜する企業が達成できるレベルだったのです。ですから、政府機関のセキュリティレベルを想像してみてください。