オーストラリア連邦政府がハッキング事件の鎮圧に奔走する中、あらゆる規模の防衛関連請負業者が、なぜデフォルトの管理インターフェースをインターネットに公開するような安全性の低いネットワークを運用できたのかを問うことは重要である。
オーストラリア通信信号局(ASD)は昨日、オーストラリア情報セキュリティ協会(AISA)の会議でハッキングの詳細についてプレゼンテーションした。
私は、この記事の功績が ZDNet の Stilgherrian 氏に帰属することを嬉しく思います。なぜなら、彼はカンファレンスに出席していましたが、私は出席していなかったからです (恐怖の全容は、こちらでご覧いただけます)。
中規模の防衛関連請負業者が侵入を受け、数ギガバイト規模の航空宇宙データと軍用機および海軍艦艇に関する商業契約が攻撃者の手に渡ったとだけ述べておこう。ASDは昨日のAISA会議でこれをケーススタディとして取り上げた。
政府はその後、この情報は商業上の秘密ではあるものの機密扱いではないと発表した。
これは孤立した事件ではない。オーストラリアでも他の国と同様に、ネットワークの防御によって阻止された攻撃者は、より容易な標的としてサードパーティの請負業者を探す。
PowerPointスライドのホラー映画
プレゼンテーションのこのスライドはあなたを怖がらせるはずです:
「これは珍しいことではありません」 - 画像提供:Stilgherrian
Vulture Southが衝撃を受けたのは、露出期間の長さだった。ASDのスライドでは、最低でも4か月と設定されており、「これは珍しいことではない」と付け加えている。
これは下請け業者の監督に問題があることを示唆しています。適切なネットワーク セキュリティがあることを証明しなくても、政府の契約を獲得できる可能性があるのです。
クリストファー・パイン国防産業大臣も同意しているようだ。今朝、彼はラジオ・ナショナルの朝の番組で、請負業者のセキュリティの不備について政府が責任を負うべきではないと述べた。
同氏はさらに、オーストラリアの防衛産業の「4,000社以上」がサイバーセキュリティを真剣に考える必要があると述べ、われわれも同意見だ。
レジスター紙は、インターネット安全センターのナイジェル・フェア氏に、防衛請負業者に適用されるポリシーや契約上の要件について質問した。
「(必要な情報セキュリティ対策に関する)規定はなく、必須8項目のチェックリスト(ASDの「愚かな行為をしてはいけない」保護対策リスト)も、少しでも理にかなったものは何もない。これは大きな問題だ」と彼は述べた。
マスター契約から遠ざかるほど、状況は悪化します。下請け業者がマスター入札から遠く離れると、状況が非常に曖昧になることがあります。
フェア氏は、政府は「防衛関連の下請け企業や孫請け企業をすべて調査し、監査する必要がある」と述べた。
はい、防衛調達政策マニュアル(PDF)や政府の保護セキュリティ政策マニュアルといった文書は存在します。しかし、そこにコンピュータ/ネットワークセキュリティのフレームワークの提案を見つけるのは難しいでしょう。
施行にも欠陥があります。例えば、請負業者のインターネット接続ネットワークを無作為に監査する機関は存在しません。請負業者は秘密保持契約を遵守することを約束しなければなりませんが、それは自己申告に過ぎません。
「これはスピード違反のようなもので、取り締まりを受けなければ、常に制限速度内で運転していると主張する自由がある」とフェア氏は語った。
防衛産業だけが、下請け業者の下請け業者によって極めて機密性の高い情報が扱われている分野ではありません。「アルフのミステリー・ハッピー・ファン・タイム」事件(ASDのジョーク好きの人物が、テレビのメロドラマ『ホーム・アンド・アウェイ』の登場人物にちなんでこの事件を名付けました)も、この文脈で捉える必要があります。
オーストラリア政府は、自慢の顔認識データベースを民間部門が利用できるようにすることを既に明らかにしています。昨日、政府はCentrelinkの電話サービスをSercoに委託する意向を発表しました。政府のデジタル変革オフィスの使命の一つは、政府をAPIとして提供し、他者が利用できるようにすることです。
アウトソーシングによって財政、効率、国家安全保障上の利益を得ることを期待している政府は、もはや請負業者のセキュリティを無視することはできません。®
