ハクソク

世界を動かす技術を、日本語で。

私たちは安心感を得るために1台のターンスタイルを設置しました

92日前原文(idiallo.com)

概要

  • 大企業による買収後、 セキュリティ強化 が最優先事項に
  • 物理的なセキュリティ対策 (ターンスタイルやカードリーダー)の混乱
  • ソフトウェア面の脆弱性 (Jira認証情報の不適切な保存)
  • 見えるセキュリティ対策(セキュリティ・シアター)と 本質的なセキュリティ の対比
  • 真のセキュリティ は目立たず、地味な努力が必要

買収後のセキュリティ強化と混乱

  • 大企業による買収後、 セキュリティ対策 が最重要課題に
  • 13階建ての3つのビルに キーカードリーダー を全入口、エレベーター、駐車場に設置
  • 最初に 駐車場のシステム が稼働、入場時にキーカードをスキャンする必要
  • 駐車場での待ち行列は発生するが、当初はまだ許容範囲
  • ドアのキーカード化で 階段やオフィスでの締め出し が頻発
  • 社内メールで「他人を自分のカードで入れない」指示が出るも、現場では守られず
  • さらに ターンスタイル(自動改札機) が設置され、未来的な外観に

ターンスタイル導入による日常の混乱

  • 各ビルに 数百人規模の社員 が在籍し、全員がターンスタイルでカードをスキャン
  • 模擬運用初日は 祝福ムード、だが翌日からは大混雑
  • 駐車場で10分以上待たされ、ロビーまで30分以上の行列
  • ターンスタイル通過後も エレベーター前で再度行列
  • エレベーター内でも各自が自分のカードで階を選択する必要
  • 混雑で エレベーターの利用が困難、何度も乗り直す社員が続出
  • 結果、駐車場から11階のデスクまで1時間以上かかる事態
  • タクシー(Uber)利用者も殺到し、 外でも新たな渋滞 が発生

ターンスタイル撤去と見せかけのセキュリティ

  • 3日目にしてターンスタイルとエレベーターのカードリーダーが 停止
  • 社員一同安堵、 物理的なセキュリティ強化策は失敗
  • その一方で Jira認証情報 がcookieにbase64エンコードで保存される脆弱性が放置
  • Redis導入による認証トークン管理の提案に 大きな抵抗
  • ベンダーとの調整やドキュメント作成、説得活動が必要
  • 1か月後、 静かに脆弱性が修正 されるが、社内の注目は集まらず
  • 物理的なターンスタイルは 会社の「セキュリティ強化」シンボル として残存

セキュリティ・シアターと本質的なセキュリティ

  • ターンスタイルや目に見える対策 は「セキュリティ・シアター」として機能
  • 管理職や経営層 が「セキュリティ対策を実施した」とアピールしやすい
  • しかし、 本当に重要なセキュリティ はコードレビューや適切な認証管理など、目立たない努力
  • 本質的なセキュリティ はリボンカットも祝福メールもなく、誰にも気づかれない
  • だが、 セキュリティ・シアター は誰の目にも明らかで、話題になりやすい

教訓:目に見える対策と見えない本質のギャップ

  • セキュリティは 目立つもの=有効 とは限らない
  • 実効性のある対策 は静かに、地味に積み重ねる必要
  • 見た目の安心感よりも 根本的なリスク管理 の徹底が重要
  • エンジニアリングの本質 は、誰にも気づかれない「正しいこと」をやり続けること
  • セキュリティ・シアターと 本物のセキュリティ の違いを見極める視点

Hackerたちの意見

セキュリティシアターについての疑念は、まず脅威モデルを話し合うことから始めるべきだね。これはただの、クソみたいなキー・カードシステムに文句を言ってるだけの人だよ。

公平に言うと、彼は目に見えない「クッキーに保存された認証情報」の問題が修正するのがずっと難しいって指摘してたんだ。ターンスタイルは目に見えるし、高価だった。みんなの日常を妨げて、会社全体のメールで話題になったりもした。管理者はそれを指して「私たちはセキュリティを真剣に考えている」って言える。一方で、何千人もの従業員がJiraの認証情報をクッキーに保存してた。これが全プロジェクト管理システムを危険にさらす脆弱性だったんだ。でも、その修正には文書化、ベンダーの承認、みんなを納得させるための1ヶ月が必要だった。かなりのお願いが必要だったよ。

ここには、ターンスタイルがセキュリティシアターだったって証拠は何もないよね?それに、いろんなキー・カードのスワイプも。猫を皮を剥ぐ方法はいろいろあるし、認証されたアクセスを確保する方法もたくさんある。もし全体のセキュリティゲートがあれば、その場所にいる人や特定のフロアの人が最低限のセキュリティや信頼レベルに従っていることがわかるから、そのエリアでの操作がもっと自由にできるんだ。これで他の行動のリスク評価がずっと簡単になる。例えば、見習いのIT技術者がSLTのノートパソコンのトロリーを廊下に置きっぱなしにしても、全ての機械を再起動させる必要がなくなるとか。重要な人がキーフォブを置き忘れても(例えばキッチンで)、コアシステムのロックダウンが発動しない。入るときに持ってたから、誰も盗んでないって信じるのが妥当だからね。もちろん、このケースでは実装が失敗してたけど、「安心感」と「セキュリティシアター」は、正しいこともあれば間違ってることもあるよ。

追加のセキュリティ対策がなぜ導入されたのかについては何も説明されてないね。恣意的に聞こえるけど、買収した会社が満たす必要がある保険や規制の要件かもしれない。ログインの問題も同様で、最適ではないけど、その解決策が導入された理由は何だったの?そして、なぜ修正されなかったの?文脈がないと、ここで文句を言うことはあまりないね。

エレベーターのカードリーダーはただの見せかけだね。実際にエレベーターでの入場を確保するには、別の前室が必要だよ。だからほとんどの建物にはそれがあるんだ。

明らかにこの場合、実装が失敗してたね。 待ち時間が長いのは、従業員の始業時間をずらすことで簡単に解決できたはずだよ。建物や階ごとに最適化することもできたし。残念ながら、多くの官僚はこういう簡単なことを考える想像力が欠けてるんだよね。(9時の会議をどうしても開きたい人は、我慢するしかないね)

私が働いてた会社は、昼休みに誰かが来てノートパソコンを一抱え盗むまで、実質的に物理的なセキュリティがなかったんだ。それからカードリーダーとフロントデスクが設置されて、他のフロアの人たちがスナックを取りに来るせいでスナック予算が高すぎることに気づいた。オフィスが不安だとは感じなかったけど、実際にセキュリティが整った後に振り返ると、あれは危なかったなって思う。

なんで誰も、最初にお菓子を盗みに来るランダムな奴らに気づかないの?

それは何年のこと?2010年からスタートアップにいたけど、確か12人くらいまでは物理的な鍵を使ってたし、その後はバッジに移行した。誰もが自由に入れる時期なんてなかったよ。

一度シンガポールに住んでたことがあって、誰も何かを盗むことはないってみんな確信してたから、ドアをロックすることなんて全然気にしなかったよ。(真夜中にデートでコーヒーを飲む時にもすごく便利だった。)通りからMacBookが見えたけど、何もなくなることはなかった。何がそうさせてたのかは分からないけど、シンガポールは信じられないくらい安全で犯罪がない感じがした。

Twitchはバッジ付きの入場をしてたけど、それでも通りから入ってきてノートパソコンを盗む事件がいくつかあったよ。でも、スナックの盗難はなかったから、ありがたいことにそういうものは神聖だね。

他の人も言ってるけど、結局は脅威モデルに帰結するんだよね。でも、時にはその脅威モデル自体を話すのが気まずいこともある。悲しいことだけど、私の記憶では、2018年のYouTube本社でのアクティブシューター事件を受けて、建物内のバッジリーダーがたくさん設置されたんだ。こういう場合の脅威モデルは、「敵対的な人を建物内に入った後、特定の部分に閉じ込めて法執行機関が到着するのを待つ」って感じで、誰かがコートテールで建物に入るのを防ぐことよりも重要なんだよね。

建物の強制的な区画分けが主な目的なら、バッジなしでも達成できるよね。少なくとも、すべてのドアにバッジを使う必要はないし。普段は解除されているけど、リモートで素早くロックできるドアを用意すればいいんだ。そういえば、昔、アクセス制御システムの仕事をしたことがあるんだ。もう何年も前の話だけど、そのシステムはOS/2で動いてた。工場にインストールしたんだけど、デモモードで生産負荷の下で動かしたら、朝のシフトの入場イベントのストリームでDBがダウンしちゃった。簡単に解決したけど、DBが理由もなくFATボリュームにインストールされてたから、HPFSボリュームに移して、ディスクのRAMキャッシュを最大に増やしたんだ。それで全てうまくいったよ。

このカードリーダーが、建物の一部から出るのを防げるとは思えないな。これは焦げた遺体から学んだ教訓で、健康と安全が重要視されるようになった根本的な要素だし。理論的には他の建物へのアクセスを防げるかもしれないけど、実際にはカードリーダーはほとんど標準的なガラスのドアや内部の窓の近くにあることが多いから、もしそれが目的なら、あまり効果的な対策とは言えないね。

アクティブシューターが予想される脅威なら、ターンスタイルがそれを効果的に止めるとは思えないな。これらのターンスタイルは、緊急時に人を通すために特別に設計されてるし、弾丸や頑丈なキックに耐えるほど強くないから。エレベーターの制限の方が良いチョークポイントになるけど、記事にもあったように、それは再開されなかったみたいだね。

いや、あのモデルは「何か悪いことが起こったから、何かをしなきゃ」って感じだよ。これが何かだから、やることにする。実際の解決策の価値を下げるつもりはないけど、人々が求めてるのは、ほとんど自分たちのコントロール外にある状況について、気持ちを楽にする何かなんだ。誰かが銃を持って職場に現れたんだから。で、彼らは毎日そこに行かなきゃいけなくて、また起こらないことを願ってる。彼らはその見せかけが欲しいし、必要なんだ。

従業員に武器を配るの?

このテキストは、組織が成長するにつれて、ますます機能不全になっていくという事実を思い出させてくれるね。それでも機能しているのは、規模の経済が機能不全による損失よりも大きいからだと思う。人間の最も重要な成果は、ダンバー数を超える構造を作る能力だ。でも、これはタダでは達成できないよ。(これが、私が大企業よりもスタートアップで働くことを目指す理由の一つでもある。)

アマゾンは物理的なアクセスセキュリティにかなり真剣だよ。2002年の時点でも、セキュリティガードが見ている間にバッジをスキャンしないといけなかった。バッジの写真と同じ人物か確認するためにね。そのガードは、犬が登録されているかも確認してた(私の犬も写真付きのバッジをもらったと思うけど、それはただの遊びで、機能的ではなかったと思う)。サイドドアから簡単に入ることもできなくて、バッジでサイドドアを開けることはできなかった。当時は、誰かが出てくるのを待ってサイドドアの外でうろうろすることはできたけど、最終的には(11年後)人々がそういうことをしているのを見て、全てのサイドドアがロックされた。最近では、建物を出るときにもバッジをスキャンしないといけなくなったから、どれくらいの時間建物にいるかも追跡できるし、現場で働くべき時間にコーヒーを飲むためだけにいて、その後は家で仕事を続けるってこともわかるようになった。この最後の部分は、私が長い間働いていなかったから、聞いた話だけどね。

彼らはすべての側のドアをロックしたけど、これで消防署に怒られなかったの?

会議室が足りなくて、アマゾンの駐車場から車の中で一日中会議を受けなきゃいけなかった日々は懐かしくないけど、会議の合間にメインエントランスでバッジをスワイプする必要があったから「不安定なバッジャー」と呼ばれないようにしてた。オフィスを人が居心地よく過ごしたいと思える場所にするための資金を使う代わりに、アマゾンがバッジの追跡と施行にどれだけの努力とお金をかけたかは笑えるよ。

ここに作者がいます。日曜日に軽い読み物として投稿したんだけど、今日は結構反響があったみたい。ここでのコメントを見る限り、ターンスタイルに焦点が当たってるね。私がそこで働いていた時と同じように。クッキーの認証情報は脇に置かれてるし、これがセキュリティシアターなんだと思う。私たちは、いわゆるアクティブシューターや様々な物理的脅威を心配しているけど、会社の裏口はそのまま開いてる状態なんだよね。ターンスタイルは無駄じゃないし、建物にいる人の記録を残して、無許可の人を止める役割も果たしてる。でも、その安心感があまりにも大きくて、他の脅威を無視しがちなんだ。

問題の一部は、アクティブシューターは視覚化しやすく理解しやすいけど、クッキーに保存された無防備な認証情報は抽象的で管理者には理解しづらい問題だってことかもね。さらに、ターンスタイルは宣伝しやすく、クレジットを得やすい。安全なウェブ認証は、上司の上司に説明して理解してもらわないとクレジットを主張できないから、こういう組織の現実がセキュリティシアターを生む原因なんだと思う。

コメントする人の大半は、実際には記事を全部読んでないか、少なくとも最後まで読んでないよね。

Jiraトークンで会社を乗っ取るのは無理だと思うよ。ターンスタイルについて考慮すべきもう一つの要素は、障害者のアクセスや火災時の避難だね。これらは建築基準法でカバーされてるけど、これは寓話だから、物理的なセキュリティが悲劇的な群衆事故を引き起こして多くの人が亡くなったこともあるってことは覚えておく価値があるよ。

ここで見るコメントに基づくと、ターンスタイルに焦点が当たってるのは、私がそこにいたときと同じだと思う。記事のタイトルはターンスタイルにして、ほとんどの部分がそれについて(と周辺の物理的特徴について)語られてる。Jiraのチケットは二の次に感じたし、記事の途中で紹介されたときは本当に混乱した。「なんでカードシステムがJiraに連絡してるの?」って思ったよ。あなたの文章を読む人は、あなたが書いたときのことに集中するから、ターンスタイルが重要な部分に見えるんだよね。

自分の命(それと、仕事の駐車場で盗まれた車の触媒コンバーター)には、仕事関連のIT資格よりもずっと関心があるよ。健康や安全の脅威は、あやふやで利用しづらい知的財産への脅威よりも、みんなにとってはるかに大きな問題なんだ。

一つのターンスタイルの写真がないのは残念だったな。

悪い実装は「セキュリティシアター」にはならないよ。大手コーヒー会社で働いた時、建物の入り口にターンスタイルがあったけど、朝の混雑は全然覚えてない。スキャン/認証/入場のプロセスは、ターンスタイルがなかったかのようにスムーズだった。数十年前にマイクロソフトに入った時、まだ「古い人たち」が建物に入るのにカードキーを使うのを嫌がってたのを覚えてる。その態度が、2000年代初頭のマイクロソフトのアプリケーションやOSのセキュリティを物語ってたね。

どちらの状況のセキュリティの影響についてはコメントしないけど、ターンスタイルを設置するのに必要な書類の量について文句を言ってるファシリティチームの関連記事はあるのかな?ソフトウェアエンジニアが気まぐれでJiraからロックアウトするために。

電子的な監査記録は、SOC2レポートを監査人にとって簡単にするよ。紙の記録を使うこともできるけど、電子の方が楽だね。世界には必要なものは少ないけど、こういうコンプライアンスのことは「ウイルス的」で、コンプライアンスが必要な相手に売るなら、基準を守らなきゃいけないんだ。それに、可視性が抑止力として十分に機能するよ。インドでは、店の前におじいさんを椅子に座らせておくのと、全く人がいない状態では大きな違いがある。前者で抑止できる人たちが、後者では抑止されないこともあるからね。おじいさんは「セキュリティ」じゃないけど、やる気のある人なら簡単に黙らせられる。でも、彼の存在は効果があるんだよ。