英国の情報セキュリティ企業 NCC グループは、情報セキュリティ認定機関 CREST により、社員による認定試験の不正行為を手助けした従業員に対して「間接的な責任」があったと認定され、厳しく非難されている。
CRESTは昨日発表した長文の声明の中で、昨夏の試験不正スキャンダルは2012年から2014年の間に行われたわずか2件の事件に要約されると述べた。
「2012年から2014年の間に、NCCグループの従業員と受験者のうち1人以上による試験関連の活動がCREST行動規範に違反した事例が2回発生し、NCCグループは雇用主として、当時これらの個人に対して間接的な責任を負っていた」とCRESTは述べている[PDF、19ページ]。
認定機関は、NCCグループの行為は、試験の内容を誰にも漏らさないことを試験受験者が確認するために署名した秘密保持契約にも違反していると付け加えた。
昨年の夏、誰かがGitHubとDropboxに大量のファイルキャッシュを放り込みました。そのファイルには、試験の攻略法、チートシート、そしてCRESTのCCT-INF(CREST認定テスター - インフラストラクチャ)、CCT-APP(アプリケーション)、そしてCRT(ペンテスティング)試験を受ける人にとって役立つであろう大量の資料が含まれていました。
調査は2020年12月に終了しており、CRESTはスキャンダルに関する完全な報告書を公表しないとしているが、今週の声明は、一般の人々が事実の全容を知るに最も近いものとなるだろう。
多くの人がThe Registerに連絡し、この組織的な不正行為は英国の情報セキュリティ業界で最も隠蔽率の低い秘密の一つだと考えていると伝えてきました。では、なぜCRESTはNCCグループを厳しく追及しなかったのでしょうか?
元警部補のエイドリアン・レノックス=ラム氏が、このスキャンダルの捜査責任者に任命された。CRESTの会長であるNCCグループのマーク・ターナー氏は「捜査期間中」(2020年12月に終了)辞任し、他のCRESTの代表者も「CRESTの他の活動から撤退した」。
CREST はすぐに重要な問題を特定しました。
CRESTの内部苦情処理プロセスは、組織自体が関与する状況ではなく、第三者から第三者に対する苦情を調査するように設定されていました。しかし、調査はより大きな問題に直面しました。レノックス=ラム氏は連絡用のGmail受信トレイを設定していたにもかかわらず、実際に連絡を取ったのはわずか5人だったのです。
「このうち1人は尋問を受け、供述しました」とCRESTは述べた。「残りの4人は、捜査に直接関係がないと判断された情報を提供したか、捜査官からのフォローアップメールに返答しなかったかのいずれかでした。」
NCC は何に違反したのでしょうか?
CRESTは、NCCグループのオンライン流出資料を試験評価担当者に確認させました。キャッシュ内の数百のファイル(ファイル名のリストはPastebinで確認できます)のうち、CRESTは「問題があり、CREST試験に関連する内容が含まれていると判断された」25件を特定しました。
- CREST 社長のイアン・グローバー氏が 13 年間務めた後に引退するが、社長、透明性はどこにあるのだろうか?
- CREST試験のカンニングペーパー調査の結果を報告したいが、英国の情報セキュリティ機関はそれを公表しない
- CREST試験カンニングペーパースキャンダル:英国情報セキュリティ機関に新臨時委員長、弁護士と元警察官が関与
- CRESTは、新たな「カンニングペーパー」がオンラインで漏洩したことを受けて、英国の情報セキュリティ認定試験2件を中止した。
CREST にこれら 25 個のファイルについて問い合わせたところ、「試験後にまとめられた「ブレイン ダンプ」とも呼ばれるメモ、受験者の復習メモ、CREST から公開されているシラバスなどのコンテンツに基づくトレーニング マテリアル、侵入テストに関連する一般的な情報などが混在している」とのことでした。
キャッシュを調査した情報源から提供された、チートシートリポジトリからのNCCブランドのアイテム
英国の情報セキュリティ業界全体(およびそれ以外の地域)の複数の情報源がThe Registerに対し、完全なキャッシュは CREST 試験を受験する人にとって非常に役立つ情報であると認識していると語った。
ファイルのうち6つはNCCの社名入りの紙で、もう1つはNCCグループのスタッフ間のメールでした。これらのファイルの作成者たちはレノックス=ラム氏によるインタビューを受け、意見は分かれました。「実際の試験内容は含まれていない」と主張する者もいれば、事実を暴露する者もいました。
そしてその結果
NCCグループは、CRESTの声明では名前が明かされていないわずか2名の従業員の行為に対して「間接責任」を負うという軽い判決を受け、軽々しく免責された。CRESTは、NCCの試験受験者の合格率が競合他社よりも高いという証拠はないと述べた。また、NCCは英国の情報セキュリティ業界のほとんどの企業よりも数倍規模が大きく、結果として多くの受験者を登録しているにもかかわらず、受験者の割合でNCCがトップ企業になったことは一度もないと指摘した。
侵入テスト会社は昨日、公式声明を発表し、今回の試験不正行為を「歴史的」なものと表現し、「NCCグループがこのような行為を知り、容認し、あるいは認可したという証拠はない」と付け加えた。
念のため、同社は「CREST声明の要件を完全に受け入れる」と付け加えた。同社は、用意した声明以外のThe Registerからの質問には回答を拒否した。
CRESTが提示した要件は、NCCが「このようなプロセスの適用状況を監視する手段」を作成し、CRESTに提出する証拠資料を作成することで、このような事態の再発を防ぐことです。さらに、CRESTの調査費用の半額を負担し、評価者がCRESTの現在の研修資料を精査し、「CRESTに関連する内容やそれを暗示する内容が含まれていないことを保証する」ための費用も負担します。
NCC 試験評価者は、それらのことが完了するまで「CREST 活動から除外されたまま」になります。
CREST報告書の公表が遅れた理由の一つは、NCCグループからのフィードバックを得るためでした。NCCの視点から見ると、これは功を奏したようです。CRESTは、自社の秘密保持契約(NDA)が、CREST試験の準備において企業と受験者双方にとって「何が許容されないのか」という点で「ある程度の混乱」を生じさせていたことを認め、文書をそれに応じて書き直す予定です。
CREST のメンバー宣言も書き換えられ、メンバーが CREST NDA、倫理規定、行動規範、苦情処理プロセスを遵守することが明示的に記載されることになります。
報復に備えて匿名を条件に取材に応じた英国の情報セキュリティ担当者は、エル・レグ紙に対し、CRESTの声明が公表されたことを喜んでおり、どんな発見があったとしても、CRESTの最大の支援者の一つであるNCCを会員から排除することは決して考えられないと語った。
他にも多くの人が、このスキャンダルによってエル・レグ社の価値が貶められ、業界全体の誠実さが疑問視される可能性があるとして、エル・レグ社に怒りを表明した。また、全員が上場への懸念を表明した。
NCSCの広報担当者は次のように述べた。「NCSCは、独立した立場の担当者が主導する形で、これらの申し立てに関する調査を実施しました。その結果、CRESTのプロセスにおいて改善の余地がいくつか特定されました。NCSCと協力し、勧告が実施されるよう努めてまいります。」
「CRESTとNCCはNCSCの調査に全面的に協力し、CREST自身の調査でもNCSCの調査と同様の結論が導き出されました。」
「この情報の共有によって、期待される基準を大幅に下回る人物に有利な状況がもたらされたとは考えていません。また、このインシデントが直接的に脆弱なシステムにつながる可能性も低いと考えています。」®
