後に報道機関にリークすることになる文書を入手したとき、Edward Snowden氏が米国家安全保障局(NSA)の下請け企業Booz Allen Hamiltonのシステム管理者だったことは、かなり前から知られている。しかし、Snowden氏はどのようにしてそれらの文書を手に入れたのだろうか。NBC Newsは「How Snowden did it」と題された調査記事を発表した。同記事では、Snowden氏の手口が説明されているという。
同記事はこの問題の背景を明らかにしている。ただし、ついでに言うと、同記事は問題から注意を逸らすものに焦点を当てている。同記事によると、Snowden氏がいたホノルルから「シンクライアント」コンピュータ経由でNSAのシステムにアクセスできたことが問題の原因だという。同記事は、使用されたシンクライアントテクノロジの具体的な名前は挙げていないが、最も人気が高いのは「VDI-in-a-Box」を含むCitrixの製品群だ。それらの製品を利用すると、ユーザーは特別なクライアントプログラムを使って、数多くの仮想デスクトップセッション(すべてWindowsデスクトップシステムのようだ)を実行するサーバに接続することができる。「Windows Server」もこれほど高性能ではないにせよ、同様の機能を備えている。
Snowden氏はそうした手法で、メリーランド州フォートミードにあるNSA本部のサーバに接続したようだ。同氏はこの接続を使って、文書をダウンロードし、携行可能なUSBキーに保存することができた。それは、何年も前にBradley Manning被告が使った手法に酷似している。
しかし、NBC Newsの記事が主張しているように、シンクライアントは本質的にセキュリティが低いわけではないし、時代後れのテクノロジでもない。シンクライアントは、適切に管理すれば、限定的なアクセスをユーザーに提供する非常にセキュアな手段になり得る。
この事件で問題となったのは、クライアントやアクセス方法ではなく、管理ポリシーだ。NBC Newsは次のように報じている。
典型的なNSA職員は「最高機密」保全許可を与えられており、すべてではないにせよ、大半の機密情報にアクセスすることができる。Snowden氏は「システム管理者」なので、高度な特権も与えられていた。4万人もの職員を抱えるNSAには、1000人のシステム管理者がおり、その大半は契約職員である。システム管理者のSnowden氏は、自分が閲覧したいあらゆるファイルを閲覧することを許可されていた。そして、同氏の行為はほとんど監査されていなかった。ある諜報機関関係者は、「一定のレベル以上の職員は、自分自身が監査役だ」と述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したもので す。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス