エピソード 21ということで、毎年恒例の保険監査を実施し、会社の価値のないサイバー保険を検証することになりました。この保険は刑務所の独占セットよりも多くの免罪符が付いた保険です。
「一般的なセキュリティ設定を確認したいのですが…ユーザー向けのパスワードポリシーを教えていただけますか?」保険会社のブライアンが尋ねました。
「ああ、絶対に必要ですよ!」と私は答えます。
「はい、しかしあなたのポリシーは何ですか?」
「パスワードが必要だということ」と私は答えます。
「いいえ、私が言いたかったのは、8文字以上、英数字と特殊文字の組み合わせ、パスワードの最小有効期間と最大有効期間、といったことです。」
「うーん」と PFY はうーんと言いました。「あのね、そこにはいくつか良いアイデアがあると思うよ。」
「パスワードポリシーがないとおっしゃるのですか?」
「ユーザーはあまり気に入っていないようですが、生年月日に年を追加すれば、6文字まで使えるようになると思います…」
「あるいは、4桁の年を使わせれば8年になるかもしれません」と私は提案します。
「すみません、ユーザーは生年月日をパスワードとして使用しているということですか?」
「いいえ。たいていはパートナーの誕生日です。もしくは、お気に入りの子供の誕生日です。」
「では、パスワードポリシーはないのですか?」とブライアンは尋ねます。
「いいえ、先ほども言ったように、ユーザーはパスワードを設定する必要があります。それがポリシーです。でも、あなたのアイデアは素晴らしいと思います。」
「管理者のパスワードはどうですか?」ブライアンは赤いペンでチェックリストに走り書きしながら尋ねます。
「はい、あります」とPFYは答えます。
「管理者のパスワードポリシーのことですか?」
「ああ、それはまた別の話だ。最低でも2文字は必要だ。」
「すみません、パスワードは 2 文字まで使用できるということですか?」
「緊急用なら、そうです」と私は答えます。
「緊急の場合は?」ブライアンは尋ねます。
「ええ、もちろんです。例えば、セキュリティインシデントが発生したり、何か問題が発生したりしたとします。複雑なパスワードを入力し、金庫にしまってあるパスワード帳からパスワードを探すのに時間を無駄にしなければならないような状況で、ユーザーが本当に待っていてくれるでしょうか?もちろん、そんなことはありません。でも、2文字のパスワードなら、あなたの会社の「ベストプラクティス」担当者がまだiPhoneから2段階認証を取得しようとしている間に、おそらく問題は解決しているでしょう。」
ブライアンが赤ペンでメモをいくつか書き足すのをしばらく待つ。「えーと…わかりました…書類のセキュリティはどうですか?」
「金庫はあるよ!」PFY は部屋の向こう側にある小さな箱を指差しながら誇らしげに言った。
「それは金庫ですか?」
「ええと、金庫なんです」と私は答えた。「会計係が小口現金システムをやめた時に、金庫がたくさん余っていたので、それをいくつか取り出したんです」
「そして、それらは何に使うのですか?」
「あそこには全てのファイルのバックアップが入ってるし、私の机の上にあるやつには建物のマスターキー、全アクセス可能なスワイプカード、そしてパスワードブックが入っています。あ、それからドアの横の床にあるやつには鉛の弾丸がいっぱい詰まってるんです。ドアストッパーとして使ってるんです。」
「ボルトで固定されていないんですか?」とブライアンは尋ねます。
「もちろんだめだよ。家に帰っても戸棚にしまえないからね。」
「それで安全だと信じますか?」ブライアンは尋ねます。
「ええ、時々違う食器棚を使うので、ちょっと変化をつけるためです」とPFYは得意げに答えた。
>落書き< >落書き<
「……わかりました。仕事のルーチンについてお伺いします。特権アクセスや管理者アクセスはどのくらいの頻度で使用していますか?」
「うーん。1日1回」と私は答えます。
「ああ」ブライアンは嬉しそうに青いペンに手を伸ばした。
「はい、朝にドメイン管理者とルートとしてログインし、家に帰ったらログアウトします。」
「では、日常業務では非特権ユーザーを使用しないのですか?」
「私たちは非特権ユーザーではありません」とPFYはまるで子供に説明するかのように説明する。
ブライアンはこの状況がどうなるかを見て、青いペンをしまっておきます。
「どんなファイアウォールを使っているんですか?」と彼はため息をつきます。
「こことサーバールームの間のことですか?」とPFYが尋ねた。「石膏ボードが3枚くらいあると思いますが、主に防音のためです。」
「彼はネットワーク ファイアウォールのことを言っているのだと思います」と私が口を挟みました。「確かに、そういうのが 1 つありますよ!」
「それはエンタープライズ レベルの次世代ファイアウォールですか?」
「スタートレックと何の関係があるの?」とPFYは尋ねる。
…さらに赤ペンで落書き…
「ウイルス対策?」ブライアンは尋ねます。
「はい。当社のユーザー全員が Security Essentials をインストールしています。」
「Microsoft Security Essentials?」ブライアンは驚いて尋ねます。
"はい。"
「それは Windows 11 でも動作しますか?」とブライアンは尋ねます。
「Windows 11?」PFY は尋ねます。
「それなら Windows 10 ですね」とブライアンは期待を込めて答えた。
「Windows 10?」PFY は尋ねます。
「Windows 8 ではじっとしていられないよ!」ブライアンは息を切らして言います。
「Windows 8?!」PFY は尋ねます。
「Windows 7 をお使いですか?」とブライアンが尋ねます。
「ええ」とPFYは言います。「何年も前にeBayでボリュームライセンスキーを買ったんです。あれは本当にありがたい贈り物で、本当に助かりました!おかげで大金を節約できました!」
>落書き< >落書き<
… 約 15 分後、ブライアンは赤ペンがなくなったので借りたいと言いました…
- BOFH : ボスがAIの電源プラグを抜いたので、私たちも彼の電源プラグを抜きました
- BOFH:AIコンサルタントが自動車表面コンサルタントという新たな役割に急速に移行
- BOFH:ボスの真の重大さと3つのコーヒー問題
- BOFH:締め出されたけど、また入れる
次の日
「大惨事だ!」とボスは思わず叫んだ。「保険料が天文学的な額だ!去年の4倍以上だし、諸条件も山積みだ。とても払えない。」
「では、ソフトウェア用に予算計上していた資金を、他のソフトウェアに使えるようになったということですか?」と私は尋ねます。
「…?!」ボスは答える。「わざとやったのか?」
「何をするのですか?」PFY は尋ねます。
「私たちに保険をかけられないようにしたんですか?」
「ポリシーを読んだことがありますか?」と私は尋ねます。
"私 …"
「契約が無効になる状況がたくさんあることをご存知ですか?」
"私 …"
「ソフトウェア、ファームウェア、ウイルス対策、オペレーティングシステム、アクセス制御システムなどに適用する場合、『合理的な注意』という用語はどの程度広範囲に及ぶのでしょうか。また、『最新』の定義はどの程度きめ細かいのでしょうか。」
「あ…つまり、ブライアンが言っていたほど状況は悪くないってことか?」
「そうですね…パスワードポリシーはあります…」
- BOFH: すべて
- BOFHアーカイブ95-99の完全版
