\r\n\r\n
大企業のセキュリティチームは、研究者やメディアから脆弱性を指摘されることを嫌うと思うかもしれませんが、必ずしもそうとは限りません。
セキュリティチームは数ある声のうちの一つに過ぎず、セキュリティとプライバシーを優先させるよう上司を説得するのに苦労することが多いようです。報道されるような恥ずかしい話なら、すぐにでも変えることができます。
例えば、セキュリティ研究者のトロイ・ハント氏は、ユーザーの誕生日を知っている人なら誰でもパスワードを変更できるシステムについて、ベットフェア・セキュリティ社に問い合わせたことがあります。1ヵ月後、ハント氏はその会社の従業員に会い、個人のブログに書き込んでいます。
...男がやってきて、「Betfair Security」という名刺を渡してくれました。ああ、くそ。しかし、その迷いはすぐに吹き飛び、取材へのお礼を言われるようになった。しかし、社内のセキュリティ・チームが経営陣に「これはクールではない」と言うだけでは、変革を促すには十分ではありませんでした。しかし、ネガティブな報道は、経営者が実際に耳を傾けるものです。
大企業で小さなチームが自分たちの主張を押し通すことがいかに難しいか、私たちはよく知っていますから、ここにはある種の論理があります。しかし、問題が大規模に公表される前に、企業は社内のセキュリティチームや外部の研究者の意見に耳を傾けてほしいですね。これは通常、社内のコミュニケーションに問題があるのですが、これを解決することで多くの○○○を防ぐことができ、私たち全員の安全が確保されます。
写真提供:Virgiliu Obada/Shutterstock.com ウェブサイト