サイバーセキュリティ―の責任者が辞職した場合、企業側は何ができるだろうか。Twitterの事例から学べることは何だろうか。
Twitterが揺れている。技術者の退職や免職が相次ぐ中、サイバーセキュリティやプライバシーを担当する最高責任者が辞職してしまったからだ。
このような状況に陥ったとき、企業は何をすればよいのだろうか。
セキュリティとプライバシーを担当するTwitterの幹部たちが2022年11月10日から相次いで辞職した。同社がユーザー認証の有料機能を刷新したため、複数の著名人のなりすまし(不正利用)が騒がれた直後だった。
TwitterのCISO(最高情報セキュリティ責任者)リー・キスナー氏がCISOを辞任した。2022年11月10日のツイート(注1)では「去るのは難しい決断だった」と記している。The Washington Post紙(注2)によれば、同社の最高プライバシー責任者ダミアン・キエラン氏(注3)と、最高コンプライアンス責任者マリアンヌ・フォガティ氏も辞職したという。
同社の従業員の半分、およそ3700人が解雇されてから1週間もたたないうちに、3人の経営幹部が退社したことになる。これはイーロン・マスク氏が同社の経営権を握ってから2週間後に当たる。
マスク氏は2022年11月の米中間選挙の直後に、Twitterの有料機能をリリースするよう担当者に迫り、すぐにTwitterの不正利用が始まった。
タイムラインは月額8ドルの料金を支払った個人やbotのツイートであふれかえり、著名な政治家やスポーツ選手などへのなりすましが明らかになった。大げさで、憎悪に満ちたツイートもある。
月額制のサブスクリプション「Twitter Blue」を慌てて展開したことと、直後に発生した不正利用の波は、連邦取引委員会(FTC)の目にも留まった。
FTCは2022年5月、Twitterがユーザーの個人情報の収集と商業的利用に関して以前の命令に違反したとして、Twitterに1億5000万ドルの罰金(注4)を科して、最新の同意協定を発表した(注5)。
FTCの広報担当者は、「われわれは深い懸念を持ってTwitterの最近の動向を追跡している」と、「Cybersecurity Dive」に語った。
「CEO(最高経営責任者)も企業も、法律の上に立つことはできず、FTCの同意判決に従わなければならない。今回の命令改訂により、コンプライアンスを保証する新しいツールをFTCは保有しており、それらを使う準備はできている」とFTCの広報担当者は述べた。だが、セキュリティやプライバシー、コンプライアンスの責任者がTwitterにいなければ、同意判決に従うことは困難だ。
Twitterは2022年5月のFTC同意命令に基づき、プラットフォームに変更を加える前にプライバシーレビューを実施することが義務付けられている。Twitter Blueは10日間で開発、リリースされたため、プライバシーやセキュリティを徹底的にチェックする時間はほとんどなかった。
ニュース専門放送局Consumer News and Business Channel(CNBC)が入手したTwitterのスタッフへの全社的な電子メール(注6)の中で、マスク氏はTwitterの経済的な見通しを「悲惨な」(dire)と表現し、同社の存続がサブスクリプションの仕組みに全面的に依存していると明かした。
「多額のサブスクリプション収入がなければ、Twitterはこれからの経済不況を生き残れない可能性が高い。当社は収益のおよそ半分をサブスクリプションにする必要がある」とマスク氏は電子メールに記した。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。