要約

  • アーネスト・ビャルハンガの名前が重要なのは、AFRINIC が後に元ホストマスターに懲戒処分を下したからだが、永続的なガバナンス問題は、ビジネス権限、技術的特権、制度的信頼のどの組み合わせが、裏付けのない行為を一見有効なレジストリ記録に変えたかである。
  • 職務上の肩書きはアクセスの信頼できる代理指標ではない。信頼できるレビューは、実際のアカウント、グループメンバーシップ、メンテナー、インターフェース、承認、オーバーライド、チケット所有権、ログ記録、監督者の承認を各該当期間について再構築しなければならない。
  • AFRINIC のその後の対策(役割に応じた資格、最終的な上級管理職によるレビュー、毎日の不一致レポート、より強力な検証、外部調査)は、特定の従業員の2019年以前の許可セットを証明することなく、内部の行動を検出または封じ込めるために必要な障壁の種類を示している。
  • 2019年の経緯は深刻な調整問題を示している:疑わしい活動が知られるようになり、別々の調査が進展し、従業員は公に見えるまま残り、封じ込めと解雇は後になった。この流れは、知識、アクセス削減、決定権限に関する証拠に基づくタイムラインを要求する。
  • 説明責任は動機や性格に関する派手な主張に依存すべきではない。監督者や監査人が、互換性のない権限、異常な変更、開示されていない利益相反、無視された警告、遅れた権限剥奪を、被害が元に戻しにくくなる前に特定できたかどうかをテストすべきである。

動詞から始めよ、人生物語からではなく

機関スキャンダルは伝記を引き寄せる。なぜなら伝記は筋書きを提供するからだ。長年在籍した従業員が信頼される。信頼がアクセスになる。アクセスが悪用される。暴露が続く。組織は人を排除し改革を約束する。この筋書きは感情と非難を割り当てるが、次の理事会に再発防止についてほとんど何も教えない。それは統制の失敗を例外的な人格に転嫁し、他の全員に、一般のスタッフと通常の手順は安全であると信じさせる。

したがって、アーネスト・ビャルハンガは、記事の劇的な主人公としてではなく、文書化された機関事例の指名された主体として扱われるべきである。公開ソースは彼をさまざまな時期に、AFRINIC の初期従業員、エンジニア、IP アナリスト、登録サービス管理者、ポリシーコーディネーター、ホストマスターと描写している。AFRINIC の2021年の正確性報告書は、元従業員が当時ホストマスターとして行動していたが、その権利と特権を悪用したと述べている。組織の2020年1月の更新は、経営陣が非常に深刻な職業上の不正行為のための懲戒審問の後、ビャルハンガを即時解雇したと述べている。報道は彼をアドレス取引に関連する会社や歴史的記録と結びつけた。これらの記述は重要であり、帰属されなければならない。彼の私生活、心理、または在職中のすべての出来事についての憶測を許すものではない。

分析の正しい単位は動詞である。ある人物がリソース要求を評価できるか?承認できるか?組織記録を作成できるか?保有者の連絡先を変更できるか?メンテナーをリセットまたは使用できるか?ブロックを再分類できるか?内部リソースファイルを変更できるか?WHOIS オブジェクトを公開できるか?チケットをクローズできるか?例外を抑制できるか?アラートを表示できるか?部下に作業を割り当てできるか?別の従業員のアクセスを承認できるか?各動詞にはビジネス目的、技術的許可、必要な承認、期待されるトレースがある。

この事例は、それらの動詞が地図として配置されたときに有用になる。肩書きがそれらに答えると想定されるときに危険になる。管理者は広範なビジネス権限を持つかもしれないが、直接の本番資格は持たない。ホストマスターは制御されたインターフェースを通じて運用するかもしれないが、緊急用メンテナーも持つ可能性がある。エンジニアは正式な承認権限を持たないが、他の人にアクセスを付与するアイデンティティシステムを制御するかもしれない。経験豊富な従業員は、システムがそれぞれのクリックを別々に記録しても、ジュニアレビューアに影響を与える可能性がある。したがって、形式的な分離は実際の集中と共存できる。

2013年から2019年までのビャルハンガの完全な同時期の許可インベントリを提供する公開ソースはない。その不在自体が重要である。それは正確な行為に関する主張を制限し、責任ある説明は確立された機関の調査結果と推測される統制上の露出を区別しなければならない。ガバナンスマップは告発リストではない。それは機関が保存すべき証拠と、その理事会が答えるべき質問を示す方法である。

三種類の権力が同じ部屋を占めていた

アクセスレビューはしばしば技術的許可から始まり終わる。それはレジストリには狭すぎる。三種類の権力が重要である:決定する権限、実行する能力、解釈に影響を与える影響力。

決定権限は、ポリシー、委任、経営から生じる。それは、申請者が資格があるか、要求が数量を正当化するか、レガシー請求者が継承を確立したか、異常な更新が進められるべきかを誰が決定できるかを決定する。スタッフメンバーは管理者アカウントなしで決定権限を持つことができる。運用チームがその人物のメールやチケットメモを十分な承認として扱う場合、実質的な権力は大きい。

実行能力は資格とインターフェースから生じる。それはメンバーシップシステム、リソースインベントリ、チケッティング、WHOIS メンテナー、管理ツール、記録を変更するための直接的な方法へのアクセスを含む。関連する証拠は一般的なアクセスポリシーではない。それはユーザーアカウント、役割、キー、グループメンバーシップ、特権付与、認証イベント、コマンドの期間固有の記録である。能力はソフトウェアが交換され、責任が移り、緊急アクセスが蓄積されるにつれて変化する可能性がある。

解釈上の影響力はあまり目に見えない。上級従業員は、何が通常の例外かを定義し、同僚を訓練し、ケースを割り当て、ポリシーの質問に答え、作業をレビューし、異常を管理者に説明するかもしれない。もし同じ人物が異常なケースに関与している場合、名目上の二次承認は独立していない可能性がある。その上級人物の歴史の説明に依存するジュニア同僚は、ファイルに二つの名前が表示されるだけで意味のあるチェックにはならない。

これらの権力は別々にマッピングされるべきである。仮想的なレガシー保有者更新を考えてみよう。要求を受け取った従業員は、どの証拠が十分かを決定し、別のスタッフメンバーに交換連絡先を作成するよう指示し、特権メンテナーを使用して WHOIS を更新し、変更が日常的であると上司に説明するかもしれない。四人が問題に触れるかもしれないが、一人の人物がすべてが行動する前提を制御している。機関記録は分散して見えるが、判断は集中したままである。

逆に、承認が独立して固定され、インターフェースが承認されたパラメータにアクションを制限し、調整がすぐに乖離を特定する場合、一人の人物が安全に複数の技術的ステップを実行できる。小規模組織は常に異なる従業員を各クリックに割り当てることはできない。彼らは権限の源泉をそれから逸脱する力から分離できる。

したがって、アクセスマップはすべての重要なアクションに対して二つの質問をしなければならない。誰がシステムに変更を受け入れさせることができたか?誰が同僚に変更が適切であると信じさせることができたか?同じ人物が両方に答えられる場合、内部者の抵抗は失敗する。

六つの列による再構築

深刻な事後レビューは、各関連トランザクションを六つの列で再構築すべきである:要求された行為、主張された権限、技術的実行主体、承認主体、独立証拠、アラート結果。これらの列は、現在の WHOIS データがない過去の代用になるのを防ぐ。

要求された行為は、最も小さな意味のある変更を特定する。'アカウント更新'は広すぎる。ファイルは、要求が組織名、法人後継者、管理連絡先、技術連絡先、メンテナー、プレフィックスステータス、割当日、リソース保有者、またはルート関連オブジェクトを変更したかどうかを示すべきである。異なる変更は異なるリスクを伴う。

主張された権限は、なぜ要求者とスタッフが変更が許可されたと信じたかを記録する。リソースメンバーの場合、それは合意に基づいて行動する登録連絡先であるかもしれない。レガシー保有者の場合、歴史的な登録と法人継承を含むかもしれない。新規割り当ての場合、完了したポリシー評価と承認であるべきである。権限は実行に先行しなければならない。後からの説明は、以前の行為を遡及的に許可することはできない。

技術的実行主体は、権威あるストアを変更した資格情報である。それは個人アカウント、サービスアカウント、メンテナー、特権管理ツールであるかもしれない。共有資格情報は、属性付けが不確実になるため、統制の失敗として扱われるべきである。サービスアカウントがコマンドを実行した場合、記録は誰がサービス要求を開始したかを保存しなければならない。

承認主体は、決定の責任を受け入れた人物である。承認は正確なオブジェクトと提案された値を特定すべきである。ケースが'整っている'という一般的な声明は、大規模なプレフィックスや保有者変更には十分ではない。承認者と技術的実行主体が同じ場合、例外は可視であり正当化されるべきである。

独立証拠は、変更を主張する人物だけが作成したものではない資料である。それは元のチケット対応、署名された契約、確認された会社記録、歴史的な委任ファイル、以前のレジストリデータ、支払い証拠、既知の保有者からの確認を含むかもしれない。基準はトランザクションによって異なるが、ファイルはレビュアーが結論を再現できるようにしなければならない。

アラート結果は、監視がイベントを観測したかどうか、誰がレビューしたか、どのように終了したかを示す。ここで名目上ログが取られている環境の多くが失敗する。タイムスタンプの存在は、システムがイベントを記録したことだけを証明する。それは誰かがイベントを承認された権限と比較したことを証明しない。

AFRINIC の期間に適用すると、この再構築は、疑わしい割り当てとレガシー変更が俳優、資格、承認者、宛先組織、連絡先ドメイン、プレフィックスサイズ、説明を共有していたかどうかを特定する。また、警告が運用データ、外部研究者、メンバーの苦情、または法執行機関を通じて到着し、それらの警告が同じトランザクションにリンクされていたかどうかを示す。結果は、従業員の肖像ではなく、統制マップになるだろう。

AFRINIC 自身の後の説明が確立すること

AFRINIC の WHOIS 正確性報告書は、限定された機関の調査結果を提供する。それは、疑わしい活動と APNIC を含む調査の後、解雇されたスタッフメンバーに対して懲戒手続きが行われたと述べている。その人物を当時のホストマスターと描写し、彼が権利と特権を悪用したと述べている。さらに、従業員は AFRINIC のプールから、彼が所有し支配する民間会社の利益のためにリソースを横領し、その会社が第三者との取引に関与したと述べている。

これらは AFRINIC の結論であり、中立的な司法判断ではない。報告書は、システムと評判が問題となった組織によって作成され、継続中の警察および法的問題を認めている。慎重な分析は、AFRINIC が何を見つけたかを述べることができるが、報告書をすべての疑わしいトランザクションや犯罪の証明に変換することはできない。その区別は甘やかしではない。それは機関事例の信頼性を保護する。

同じ報告書は、統制について動機よりもはるかに多くを明らかにしている。それはその後の措置として、リソースおよびメンバーシップステップの自動化、チェックとトレーサビリティを追加することを目的とした変更管理ポリシー、上級スタッフによる最終レビュー、レガシー更新のためのより強力なビジネスルール、毎日の不一致レポート、PGP 認証、役割に応じた資格、通常のインターフェース外の変更のエスカレーション、恒久的な監査メカニズムを含むと述べている。また、2019年6月に不正腐敗防止ポリシーが採択され、2020年6月に独立した内部通報プラットフォームが開始されたと述べている。

各措置はガバナンスの質問を暗示する。上級スタッフによる最終レビューが重要な改善だった場合、どの要求が以前は請求書発行や公開に到達できたのか?変更のトレーサビリティが強化を必要とした場合、以前のログは不完全で、権限にリンクされておらず、弱くレビューされていたか、その三つすべてか?役割に応じた資格が強調された場合、アクセスは現在の職務を超えて拡大していたのか?毎日の不一致レポートが重要になった場合、MyAFRINIC、WHOIS、リソースファイルはどれくらいの頻度で乖離し、迅速にクローズされなかったのか?内部通報チャネルが2020年まで到着しなかった場合、上級同僚を疑うスタッフや部外者のために以前はどの保護ルートが存在したのか?

答えは是正措置リストからのみ推測することはできない。統制は存在し、後に改善されたかもしれない。報告書は各実施の日付を特定せずに現在の慣行を説明するかもしれない。しかし、これらはまさに独立したレビューが、日付の入ったポリシー、アクセス記録、設定履歴、チケット、監査ワークペーパーで答えるべき質問である。改革の言葉は調査を開くべきであり、閉じるべきではない。

肩書きは特権の漂流を隠す

ビャルハンガの長い在職期間は、役割の履歴を特に重要にする。公開資料は多くの年にわたって変化する責任を描写している。テクノロジー組織では、アクセスは削除されるよりも速く蓄積されることが多い。従業員はエンジニアからマネージャー、ポリシーワークに移り、便利だから、または同僚が依然として非公式の専門知識に依存しているから、古いグループメンバーシップを保持する。結果は特権の漂流である:現在の職務は一連の権限を正当化するが、過去の職務は別のセットをアクティブのままにしておく。

特権の漂流は、このケースでそれが発生したことの証明ではない。それは証拠がテストすべきリスクである。調査者はすべての入社、異動、役割変更イベントを再構築すべきである。各日付について、従業員の職務記述、実際の職務、承認されたアクセス要求、ライブ許可を比較すべきである。古いキー、休眠アカウント、共有メンテナー、緊急資格は明示的に扱われるべきである。剥奪記録は付与記録と同じくらい重要である。

レビューはまた、通常の経路と例外的な経路を区別すべきである。標準的なホストマスターインターフェースは、チケット参照とプレフィックス制限を強制するかもしれない。パワーメンテナー、コマンドラインツール、またはデータベース管理者への管理者要求は、それらの制約を回避するかもしれない。AFRINIC の後の報告書は、通常の登録サービス権限で実行できなかった変更は、マネージャーまたは部門長の承認の後、データベース管理者に指示されたと述べている。その設計は、承認が具体的であり、データベース管理者が独立してそれを検証する場合、安全であり得る。また、上級スタッフの主張が証拠の代用となる場合、迂回路になる可能性もある。

緊急アクセスは異常に明るい痕跡を残すべきである。目的、承認する役員、開始時間、期限、コマンド、事後レビューのすべてが記録されるべきである。恒久的な緊急アクセスは、単に劇的な名前を持つ無統制の特権である。高価値リソースを扱うレジストリは、すべての使用を運用外の保証機能に報告すべきである。

サービスアカウントも同等の精査が必要である。自動公開はシステムアイデンティティの下で変更を行い、元の人間を隠すかもしれない。システムは、人間の承認参照をイベントログに含めるべきである。複数のアプリケーションが一つのパブリッシャーを通じて変更を送信できる場合、各要求は暗号化またはその他の改ざん防止可能な属性を必要とする。そうでなければ、完全な技術的履歴が機関的に匿名のままになる可能性がある。

最後に、影響力は忌避しても存続すべきではない。従業員が要求者や取引相手に外部の利益を持っている場合、彼らの承認クリックを削除するだけでは不十分である。彼らがケースを割り当てたり、レビューアに助言したり、関連記録を変更したり、別の経路を使用して実行したりすることができる場合、不十分である。利益相反の封じ込めは、その人物をすべての段階から排除し、その排除の理由を保存しなければならない。

アラートは内部関係者が別々のままでいることを望む記録を接続すべきである

内部者の計画は、各システムがもっともらしい断片だけを見るときに利益を得る。チケッティングはサポート要求を見る。WHOIS は連絡先更新を見る。在庫はステータス変更を見る。財務は請求書またはおそらくトランザクションを見ない。ルーティングデータは新しい発信元を見る。法人記録は新しい会社を示す。単一の断片は必ずしも悪用を証明しない。アラート機能はそれらをつなぐことでその価値を得る。

第一のクラスのアラートは不在である。有効な要求チケットのない委任プレフィックス、承認のない大規模変更、継承証拠のないレガシー更新、検証された連絡先のない保有者、リンクされたケースのない管理コマンドは、定義上例外的であるべきである。AFRINIC の後の監査は、2,824のチェックされたプレフィックス記録のうち9つがチケット番号なしであり、2012-13年に Fiber Grid への割り当てに関連していることを発見した。9は数値的に小さい。アドレス量と共通のコンテキストが例外を重要にする。

第二のクラスは矛盾である。WHOIS と MyAFRINIC は組織ハンドルまたはステータスで一致しないかもしれない。リソースファイルはブロックが利用可能であると表示する一方、公開統計はそれが委任されていると表示するかもしれない。チケットは一つのプレフィックスを承認する一方、公開は別のものを作成するかもしれない。組織名は継続性を示唆する一方、その連絡先ドメインは最近登録されているかもしれない。AFRINIC の後の報告書は、そのような不一致のために毎日の不一致レポートが生成されたと述べている。関連する歴史的質問は、同等の比較がいつ始まったか、誰が例外を所有していたか、老齢化が報告されたかである。

第三のクラスは集中である。一人の俳優が繰り返し異常に大きな割り当て、休眠中のレガシー保有者、ステータス再分類、または同じ外部連絡先を扱っている。一人の承認者がすべての例外に現れる。いくつかのかつて無関係だった組織がドメイン、アドレス、電話番号、メンテナー、取引相手を共有している。集中は不正行為を証明しない。それは独立したレビューが最大のリターンを提供する場所を特定する。

第四のクラスはシーケンスである。保有者連絡先が変更され、次にメンテナーが変更され、次にルートオブジェクトが現れ、次にブロックが販売またはリースされる。プールリソースがトランザクションの前にレガシーとラベル付けされる。警告が到着し、アクセスは変更されないまま、関連記録が動き続ける。シーケンシングは孤立したイベントをテスト可能な仮説に変換し、監督者に封じ込めが発生すべきだった時点を与える。

第五のクラスは外部矛盾である。研究者、アンチアビューズ組織、ネットワーク、想定される歴史的保有者は、公開記録が観測された現実に適合しないと報告するかもしれない。そのような報告は検証を必要とし、間違っている可能性がある。それでも管理されたキューに入り、ケース参照を受け取り、内部履歴と照合され、複数のソースが収束するときにエスカレーションされるべきである。部外者を敵として扱う機関は、その記録をより広いインターネットと比較している唯一の人々を見逃す可能性がある。

アラートの品質は独立性に依存する。アラートを生成した人物がレビューなしでそれをクローズできる場合、監視は表面的である。監督者が定期的にその人物の説明を受け入れる場合、アラートは社会的に捕捉される。高リスクのアラートは運用ライン外の保証チームまたは上級役員に送られるべきであり、未解決の項目は年齢とアドレス量によって監査委員会に到達すべきである。

監督者の問題は心を読むことではなかった

監督者は隠された意図を推測することはできない。彼らは互換性のない職務、異常な量、繰り返される例外、法的に関連する場合にのみ説明されていない富、外部の利益、迂回路の使用、レビューへの抵抗を観察できる。彼らの仕事はスタッフの精神分析ではない。それは、誰の正直さも重大な単一障害点とならない条件を作り出すことである。

それは明確な所有権から始まる。すべての特権的能力にはビジネスオーナーがいるべきであり、そのオーナーは四半期ごとに各ユーザーがまだそれを必要としていることを証明する。アイデンティティチームは実際の許可リストを提供すべきであり、マネージャーにあいまいな役割名を証明させるべきではない。ユーザーは自分のアカウントとキーを確認すべきである。内部監査は自己証明ではなく、ライブシステムに対してサンプルをテストすべきである。

監督者は権限だけでなく活動もレビューすべきである。人物は正当に特権を保持しているが、異常な方法で使用するかもしれない。レポートは、変更された大規模プレフィックス、レガシーステータス修正、時間外の行動、迂回経路、失敗した試み、一括編集、取り消しを示すべきである。レビューは活動を割り当てられたケースと比較すべきである。割り当てられていない行動は、単なるアクセスよりも強いシグナルである。

強制休暇とローテーションは隠された依存関係を露出させることができる。上級従業員のケースを誰も理解できない場合、機関は継続性と詐欺リスクの両方を抱えている。休暇中は、別の資格のある人物が未解決の作業と特権活動を調整すべきである。これは有罪の推定ではなく、通常の回復力である。

業績インセンティブは重要である。迅速な割り当てまたはチケットクローズのみで報われるチームは、レビューを妨害として扱うかもしれない。監督者は文書化の完全性、例外の質、タイムリーなエスカレーション、公開後の正確性を測定すべきである。欠陥のある高価値の変更を止めたレビューアは、遅延で非難されるのではなく、認識されるべきである。

利益相反には使用可能なプロセスが必要である。スタッフは、メンバー、ブローカー、リソーストランザクションに関連する外部の役員職、所有権、有給アドバイザリー業務、緊密な関係を開示すべきである。機関は申告を申請者および取引相手データと照合すべきである。利益相反委員会または指定役員は、忌避とアクセス制限を決定すべきである。沈黙は唯一のテストであってはならない;リスクが重大な場合、検証が必要である。

理事会の役割は、これらの監督者の職務を測定可能にすることである。経営陣が長年在籍する従業員を信頼するかどうかを問うべきではない。どの従業員も高リスクの変更を発信し完了できるかどうか、特権に所有者がいるかどうか、いくつの利益相反が忌避につながったか、最大の未解決アラートがどのくらい古いか、監査が答えをテストしたかどうかを問うべきである。

2019年の経緯は調整リスクを露出させる

公開の経緯は不完全だが重要である。AFRINIC の後の監査は、2019年3月頃、FBI の申請に続くモーリシャス裁判所の命令が、いくつかのアドレスブロックに関する疑わしい活動を AFRINIC の注意に持ってきたと述べている。予備的な内部調査は、スタッフが第三者と権限なく行動した可能性があることを示したと述べている。MyBroadband は後に、元 CEO の Alan Barrett が4月に WHOIS データの操作について理事会に知らせたと報じた。AFRINIC は6月に不正腐敗防止ポリシーを採択し、理事会が7月に APNIC の支援を得て調査を依頼したと述べている。

公開報道は9月に現れ、12月に深まった。9月26日、AFRINIC はビャルハンガを含む長年在籍スタッフを15年の勤務に対して公に表彰した。この事実は、暫定 CEO や広報スタッフが機密の調査証拠を知っていたことを証明しない。それは、人事の表彰、広報、調査が別々のトラックで進む可能性があることを示している。よく統制されたインシデント構造は、継続的な公の支持がリスクと両立するかどうか、従業員を予断せずに何ができるかを決定すべきである。

10月の報道はビャルハンガが辞職したと述べたが、AFRINIC の後の1月の更新は、経営陣が12月13日に懲戒審問を開き、彼を即時解雇したと述べている。見かけの違いは、情報源に基づく報道、辞職の試みのステータス、停職、その後の雇用措置を反映している可能性がある。ここで利用可能な公開資料はそれを調整しない。責任ある結論は最も劇的なバージョンを選ぶことではなく、一次記録から決定的な雇用とアクセスのタイムラインを要求することである。

AFRINIC の12月16日の理事会更新は、元 CEO が辞職後に無許可の WHOIS 変更が発生した可能性があることを理事会に知らせ、内部調査が進行中であると述べた。APNIC の報告書がいくつかの申し立てを確認し、問題は12月10日に警察に付託され、CEO はアクセスを制限し、操作を防止し、関与または疑いのある当事者のアクセスを停止または取り消すよう指示されたと述べている。文言は、数ヶ月の進展する懸念の後に明示的な封じ込めを置いているが、秘密の行動はより早く発生した可能性があり、発表によって確立されていない。

これが中心的なタイムラインの質問である:知識の各時点で、どのアクセスが残っていたか、誰がリスクを受け入れ、なぜか?認識は二値ではない。裁判所関連の要求は保存と狭い調査を正当化するかもしれない。スタッフ関与の予備的な兆候は、秘密の監視、一時的な特権削減、または二重承認を正当化するかもしれない。外部調査はより強力な封じ込めを必要とするかもしれない。公の申し立ては評判と証拠のリスクを変えるかもしれない。各閾値は文書化された決定を持つべきである。

封じ込めも注意を必要とする。突然のアクセス削除は対象者に警告を与えたり、重要な運用を混乱させたりする可能性がある。完全な監視なしのアクセスを残すことは、さらなる害や証拠の改ざんを許す可能性がある。解決策はリスクベースである:ログを独立して保存し、対象者の制御外で資格情報をローテーションし、二重承認を要求し、特権活動を影で監視し、調査データを分離し、停職前に継続性を計画する。成熟した対応は、各措置がなぜ釣り合っていたかを記録する。

内部監査はポリシーの散文ではなく権限を監査しなければならなかった

AFRINIC の公開監査範囲はアカウントを超えていた。2018年の資料は、監査委員会が内部統制、リスク管理、内部監査、情報システム、テクノロジーガバナンスをレビューすると説明していた。2018年8月の理事会議事録は、内部監査人の採用について議論していた。2019年4月の議事録は、財務とコンプライアンスに加えて登録サービスと事業継続を含む内部監査計画を説明していた。

重要な質問は、どのテストが続いたかである。ポリシーを読んでも特権の漂流は明らかにならない。マネージャーへのインタビューは、どの資格が大規模ブロックを編集できるかを確立しない。通常の割り当てのみをサンプリングすると、集中した例外を見逃す可能性がある。内部監査は、ライブ許可を検査し、高価値記録を権限までトレースし、ログを割り当てられたチケットと比較し、特権変更をテストし、利益相反申告をレビューし、アラートが独立した誰かに到達したことを確認する必要があった。

監査ユニバースは番号リソース管理を中核として扱うべきだった。レジストリの財務諸表は正確である一方、その権限記録は破損している可能性がある。アドレスは従来の帳簿価額を持つ所有在庫として表示されないかもしれないが、それらの登録の制御は機関の存在理由である。主に会計の重要性に基づいた監査計画は、したがって最大の正当性リスクを過小評価する。

監査人には直接アクセスと保護された報告も必要である。上級運用従業員がサンプルを選択し、すべての文書を仲介し、ジュニアスタッフに代わって答えるべきではない。監査人はシステム管理者からログを取得し、ポリシーやチケットデータと比較し、重大な発見を直接監査委員会に報告すべきである。経営陣の回答は報告書に属するが、経営陣は発見を編集して消してはならない。

クロージャには証拠が必要である。アクセスを改善する約束は是正ではない。監査人は、過剰なグループが削除され、古いキーが取り消され、二重承認が強制され、アラートが生成され、例外がレビューされたことを検証すべきである。統制が迂回された場合、発見は再開されるべきである。委員会は、完了とマークされたパーセンテージだけでなく、老齢化と繰り返しの発見を見るべきである。

ビャルハンガの事例はしたがって監査設計のテストである。関連する許可とパターンが可視でありながらテストされていなかった場合、計画は失敗した。それらがテストされ認識されなかった場合、監査方法は失敗した。発見が存在したが理事会に届かなかった場合、報告は失敗した。それらが理事会に届き未解決のままだった場合、是正は失敗した。従業員の名前はどのリンクが壊れたかに答えない。

未知のままにしなければならないこと

良いガバナンス分析は不確実性を保持する。ここで検討された公開記録は、ビャルハンガのアカウントの完全なリスト、各争点変更に使用された正確なコマンド、APNIC の機密報告書の内容、AFRINIC が受け取ったすべての警告、すべての警察および法的質問の最終結果を確立しない。言及されたすべての会社や人物が無許可の行為に知識をもって参加したことを証明しない。各リソースに対する司法判断を確立しない。

記事はまた、在職期間、技術的スキル、国籍、家族関係、公の沈黙から罪を推測すべきではない。長期間の勤務は特権と信頼を生み出すかもしれないが、不正行為ではない。技術的能力は能力を説明するが、行動を説明しない。ジャーナリストに答えないことには多くの理由がある。責任ある分析は、帰属された記録と機関の調査結果を使用し、ほのめかしは使用しない。

限界は統制のためのケースを強化するのであって弱めない。よく設計されたレジストリは、危険な特権の組み合わせを減らす前に性格に関する公の評決を必要とすべきではない。統制の事実に基づいて行動できる:一人の人物が互換性のない権限を持っている;割り当てに権限がない;システムが一致しない;利益相反が申告されていない;アラートが未解決である;特権変更が割り当てられたケースの外にある。これらの発見は、扇情主義なしに比例した封じ込めを支持する。

同じ規律は他の従業員を保護する。完全なアクセスマップは、告発された人物が帰属された能力を持っていなかったこと、共有アカウントが属性付けを妨げること、または別のシステムが変更を生成したことを示すことができる。統制は単に疑いの手段ではない。それらは含意するだけでなく免除できる証拠である。

スキャンダルを生き残るべきガバナンスマップ

AFRINIC とすべての同等のレジストリは、五つのリンクされたレジスタを持つ生きたマップを維持すべきである。第一は決定権限レジスタ:各クラスと規模の割り当て、レガシー更新、ステータス変更、例外的行動を誰が承認できるか。第二はライブシステムから引き出された技術的権限レジスタ。第三は人間の行為者を実行された変更に接続する活動レジスタ。第四は利益相反レジスタと忌避および制限制限の決定。第五はアラート、レビュー、発見、クロージャ証拠を含む保証レジスタ。

マップはバージョン管理され、調査者が過去の日付を再構築できるようにすべきである。四半期スナップショットは高リスク特権には十分ではない;すべての付与と取り消しが保存されるべきである。アクセスは更新されなければ自動的に期限切れになるべきである。高リスク役割はより強力な認証と共有資格情報なしを要求すべきである。特権ユーザーは自分の権限を承認したり、自分のアラートをレビューしたりしてはならない。

すべての大規模割り当てまたはレガシー管理変更について、レジストリはコンパクトな証明を生成できるべきである:検証された要求者、該当するポリシーまたは歴史的権限、評価者、独立承認者、実行された値、行為者、公開結果、調整ステータス、その後の修正。証明は機密証拠を保護しながら、参照と整合性を保持できる。

監督者はアドレス加重の活動および例外レポートを受け取るべきである。内部監査はランダムとリスクベースの両方の再構築を実施すべきである。監査委員会は最大の未解決項目、繰り返される迂回、利益相反、特権レビューの失敗、是正の遅延を受け取るべきである。メンバーは重要な変更の通知とそれらに挑戦する安全な方法を受け取るべきである。

インシデント対応は知識の閾値を事前に定義すべきである。信頼できる外部の異常は保存とトリアージを引き起こす。裏付けのない変更の証拠は二重管理と範囲拡大を引き起こす。特権スタッフを関与させる証拠は独立調査とアクセス封じ込めを引き起こす。確認された悪用は懲戒、法的、回復、通知の決定を引き起こす。各閾値には所有者と最大応答時間がある。

最も重要なことに、マップは一人の従業員が去るときに消えるべきではない。機関が名前を覚えているが、権限がどのように変化したかを示せない場合、スキャンダルは伝記に還元されている。永続的な記録は、並外れた信頼を不要にする一連の統制である。

正直な従業員に対してマップをテストせよ

アクセス設計は、悪意のある内部関係者を止められるかどうかだけでなく、曖昧な要求に直面する良心的な従業員のために何をするかによっても判断されるべきである。その反事実は、統制と罰を分離するので有用である。想像してみよう。上級ホストマスターが、休眠中のレガシー保有者に対する権限を主張する誰かから一見もっともらしい書類を受け取る。会社名は馴染みがあり、古い連絡先は連絡が取れず、請求者は迅速な更新を望んでいる。要求は正当かもしれない。また、注意深く準備された乗っ取りかもしれない。

弱い環境では、経験が主要な防御手段になる。ホストマスターはどの文書が説得力があるかを決定し、歴史的記録を検索し、連絡先を変更し、後で誰かが尋ねれば決定を説明する。正直な従業員は、証拠が難しいため間違った結果に達するかもしれない。不誠実な従業員はまったく同じ裁量を悪用できる。機関は、決定が独立したステップを通じて強制されなかったため、後で二つを確実に区別できない。

強い環境では、システムは正直な従業員が圧力に抵抗するのを助ける。請求者の身元は別の機能によって検証される。法人継承は承認された証拠基準に照らしてチェックされる。第二のレビューアは、最初のアナリストの要約だけでなく、元の資料を受け取る。重要なメンテナーまたは保有者変更は、承認されたパラメータ内でのみ実行される。歴史的な状態は可視のままである。既知の連絡先は独立したチャネルを通じて通知を受け取る。アラートはリソースの異常な年齢とサイズを記録し、保証はファイルが完全であることを確認する。

これらのステップのどれも不正行為を想定していない。それらは困難な決定を再現可能にする。変更が後に異議を唱えられた場合、従業員はどの証拠が利用可能で、どの基準が適用され、誰が同意したかを示すことができる。したがって、良い統制はレジストリを悪用から保護するのと同じくらい、スタッフを事後的なスケープゴートから保護する。

同じテストは新規割り当てにも適用される。有能なアナリストは、後に虚偽であることが判明する洗練されたネットワーク計画に説得されるかもしれない。独立した身元確認、アドレス加重の承認閾値、割り当て後の検証は、専門的判断が個人の責任になる可能性を減らす。申請者がアナリストにステップを迂回するよう圧力をかけた場合、個人ではなくシステムが拒否できる。

この反事実はまた、理事会の説明責任を鋭くする。取締役はすべての従業員がすべての同僚を疑う文化を要求すべきではない。彼らは信頼が証拠によって制限される構造に資金を提供すべきである。スタッフは協力し、専門知識を共有し、迅速に行動できる。なぜなら、最もリスクの高い決定は耐久性のある独立して検証された痕跡を残すからである。改革の尺度は、組織が次の長年在籍する専門家を信頼するかどうかではない。その専門家が、レジストリが依存する唯一の人物の誠実さにならずに優れた仕事ができるかどうかである。

アクセスは機関的事実だった

AFRINIC の後の調査結果は深刻であり、ビャルハンガは抽象的なガバナンスの教訓に付けられた架空の人物ではない。組織は彼を雇用措置で指名し、公開報道は広範な申し立てを集めた。それを消すのは回避的だろう。そこで止まるのも同様に回避的だろう。

従業員は、望むだけで裏付けのないレジストリ記録を権威あるものにすることはできない。機関は能力を付与し、決定を受け入れ、結果を公開し、異常に挑戦せず、信頼が成長するのを許さなければならない。その連鎖は意図的な行為、エラー、従順、弱いソフトウェア、行方不明の監視を含むかもしれない。ガバナンスはそれらが整列するのを防ぐために存在する。

したがって、この事例の適切な記念碑は悪役の伝記ではない。それは、何ができたか、何が行われたか、誰がそれを見るべきだったか、彼らが何を知っていたか、どのように応答したか、どの障壁が現在繰り返しをより困難にしているかの日付入りの地図である。それ以下は、人物を除去しながら可能性を保存する。

情報源と分析の境界

AFRINIC のWHOIS データベース正確性報告書は、組織の回顧的調査結果、方法、強化された統制の説明を提供する。AFRINIC の2019年12月の理事会更新は、通知、APNIC 支援、警察付託、アクセス封じ込め指示の理事会の公開経緯を確立する。2020年1月の最高経営責任者更新は、懲戒審問と解雇を AFRINIC 自身の言葉で記録する。KrebsOnSecurityMyBroadbandは、帰属された調査報道と公開記録へのリンクを提供する;どちらも裁判所の判決として扱われない。

この記事は、刑事責任、争点のプレフィックスの正当な管理者、名前の挙がっていない同僚の知識、または任意のアカウントに付与された正確な許可セットを決定しない。性格や地位から行動を推測しない。その結論は、特権内部関係者が関与するときにレジストリが生成できなければならないアクセス、アラート、監督、監査証拠に関するものである。