概要

  • Starwood の予約環境は、Marriott が2016年9月23日に買収を完了する2年以上前の2014年7月下旬に侵害されていました。Marriott の買収届出書はhttps://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360d8k.htm、英国 ICO の最終制裁告知はhttps://ico.org.uk/media2/migrated/2618524/marriott-international-inc-mpn-20201030.pdfにあります。
  • アカウンタビリティの根本問題は、Marriott がクロージング前にすべての隠れた事実を知り得たかどうかではありません。問題は、クロージング後の権限が、引き継いだ予約データベース、特権資格情報、データベース監視、暗号インベントリ、サービスプロバイダとの境界、およびデータ廃棄に対する検証済みの管理にどれだけ迅速に変換されたかです。
  • 規制当局は後に異なる対応を取りました。ICO は GDPR 期間中のセキュリティ不備に対して1840万ポンドの制裁金を課し、米国の州は5200万ドルの和解に達し、FTC は20年間の命令を出しました。Marriott は州和解で責任を認めず、ICO の制裁金も不服申し立てしませんでした。
  • この記録は、引き継いだ運用リスク、発見の遅れ、不完全な監視、不均一なパスポート保護、暗号に関する説明の変化、強制可能な是正措置を裏付けています。正確なユニーク個人の数、攻撃者の特定、影響を受けたすべてのゲストが詐欺被害に遭ったという証拠は示されていません。

買収はセキュリティ証明ではない

企業買収は、ブランド、客室、ロイヤルティ会員、市場、取引価値といった商業的観点で語られることが多い。Starwood の事例は、稼働中のデータシステムが同時にサードパーティの信頼境界である理由を示している。クロージング前、買い手は表明保証、デューデリジェンス資料、コンプライアンス報告、アーキテクチャ概要、侵害開示を受けることがある。クロージング後、買い手は運用権限を引き継ぐ。セキュリティの実態はその両方に遅れる可能性がある。

Marriott は2015年11月に Starwood の買収に合意し、2016年9月23日に買収を完了した。Starwood は完全所有子会社となった。この取引により、客室数・ブランド数で世界最大のホテル企業が誕生し、グローバルな予約基盤が構築された。その詳細は買収関連資料(https://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360dex991.htm)に記載されている。しかし、予約データベースのセキュリティ実態はそのビジネス価値とは異なっていた。ICO によると、後に予約侵害に関連付けられた侵入は2014年7月下旬に始まった。

この時系列が重要なのは、Marriott が攻撃者の最初の侵入時に Starwood を所有していなかったからである。また、Marriott が侵害された予約システムがクロージング後も稼働し続けていた期間に同社を所有していたからでもある。Marriott の当時の CEO は、2019年の米国上院小委員会で、買収前の技術精査は Marriott と Starwood が依然競合関係にあったため限定的だったこと、Marriott が Starwood の予約プラットフォームを廃止する決定を下したこと、そして1,270のホテル移行に2年を要したことを証言した。その証言はhttps://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/Soresnson%20Testimony.pdfにある。これらの制約は現実のものである。しかし、それによって、引き続きゲストデータを処理していた環境を検証するクロージング後の義務が消えるわけではない。

ここで重要なのは信頼境界である。買収前、Starwood は第三者であった。買収後、Starwood のシステムは、Marriott の広範なネットワークから技術的に分離されていたとしても、Marriott の引き継いだ運用システムとなった。ICO は、Starwood と Marriott のネットワークが分離されたままであり、攻撃者が Starwood 以外のシステムで処理されたデータには到達しなかったと認定した。分離は被害範囲を縮小したが、それは同時に、レガシーシステムが侵入者の潜伏先として残りうることを意味した。

したがって、アカウンタブルなクロージング後の疑問は証拠に基づくものとなる。どの特権アカウントが再検証され、どのサービスプロバイダ資格情報がローテーションされ、どのデータベーステーブルが監視され、どのエクスポートがログ記録され、どの暗号に関する主張がテストされ、どのデータフィールドがマッピングされ、どのコピーが廃棄され、そしてレガシーシステムの実態が売り手の書類に取って代わるまでにどれだけの時間を要したか、である。

隠れた履歴と既知のセキュリティ履歴の衝突

Starwood の予約侵害を以前の POS 侵害と混同すべきではないが、以前の侵害は買収リスクの文脈に属する。Starwood の2015年年次報告書(https://www.sec.gov/Archives/edgar/data/316206/000156459016013371/hot-10k_20151231.htm)には、一部のホテルの POS システムに影響したマルウェアが開示されており、その時点では予約システムやロイヤルティシステムが影響を受けた兆候はないとされていた。この記述は、隠れた予約侵入者を明らかにするものではなかった。しかし、Starwood に最近セキュリティ問題があり、買い手の精査が必要であることを示していた。

連邦取引委員会(FTC)の2024年の提訴状(https://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottcomplaint_0.pdf)は、後に Starwood と Marriott に関連する弱点を含め、複数の侵害にわたる広範な不備を主張した。この提訴は同意により解決されており、裁判上の認定とみなすべきではない。ここでの価値は、規制当局が後に強調した統制テーマの種類を示すことにある。すなわち、セグメンテーション、アクセス制御、パッチ適用、多要素認証、監視、暗号保護、データ保持、買収エンティティの評価である。

FTC の最終命令(https://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottfinalorder.pdf)は、これらのテーマを長期的義務に変換した。セキュリティプログラム、プライバシープログラム要素、買収関連評価、リスク分析、アクセス制御、監視、テスト、削除・保持管理、取締役会報告、認証、独立評価が求められる。この命令は提訴状のすべての主張を立証するものではない。これは、引き継がれた侵害リスクと繰り返される侵害リスクの後に、規制当局が必要とみなした将来志向の統制を示している。

取引チームにとっての教訓は実践的である。売り手の以前の侵害開示は、隣接システムに対するクリーンな健康診断書ではない。コンプライアンス報告はある環境をカバーし、別の環境を見逃す可能性がある。ある POS インシデントで予約システムが影響を受けていないとされた記述は、別の侵入からクリーンであることを証明しない。買い手は、特に移行に何年もかかる場合、高価値のレガシーシステムについて、クロージング後の脅威ハントと統制検証計画を必要とする。

タイムライン:ビジネス管理、技術的検出、ゲスト通知は異なる時計

少なくとも5つの日付が記録を確定している。2014年7月下旬は、侵入者の Starwood 環境への侵入を示す。2016年9月23日は、Marriott による買収完了日である。2018年5月25日は、ICO の法的分析における GDPR 適用開始日である。2018年9月7日と8日は、データベースアラートと Marriott へのエスカレーションを示す。2018年11月19日は、Marriott が調査員がファイルを復号し、Starwood 予約データベースからの個人情報が関与していることを確認したと発表した日である。

ICO の制裁告知は、2014年7月下旬の侵入を、Starwood 従業員アプリケーションをサポートするデバイス上の Web シェルを介して再構築している。攻撃者はリモートアクセスツールを使用し、資格情報を収集し、環境内を移動し、最終的にデータベーステーブルをエクスポートした。公開記録は、完全なホストリスト、全ファイルリスト、または正確な初期脆弱性を提供していない。これは、買収前後にわたる長期間の不正な存在を立証している。

2018年9月7日、管理者アカウントが保護されたゲストプロファイルテーブルの行数をクエリした後、IBM Guardium がアラートを生成した。Starwood のゲスト予約データベースを管理していた Accenture は、9月8日に Marriott にエスカレーションした。Marriott は、使用された資格情報の人物がそのクエリを実行していなかったことを知った。その出来事は不審な活動の検出であり、エクスポートされたすべてのファイルの即時の知識ではなかった。それは最終的な発見経路を開始した。

その後の日々は、アラート、封じ込め、範囲特定が別々である理由を示している。Marriott はインシデント対応を起動し、外部調査員を関与させた。ICO によると、9月10日に、別のパスポート関連テーブルがダンプファイルにエクスポートされた。9月17日、調査員はリモートアクセス型トロイの木馬を特定し、コマンド&コントロール活動をブロックした。10月には、調査員が侵入履歴を2014年まで遡らせる証拠を特定した。11月13日に、暗号化および削除されたファイルの痕跡を発見した。11月19日に、それらを復号し、予約データベースからの個人情報が含まれていることを確認した。

Marriott は11月22日に ICO に通知し、11月30日に公表した。同社の通知(https://marriott.gcs-web.com/news-releases/news-release-details/marriott-announces-starwood-guest-reservation-database-security)は、データベースが米国にあり、初期のフィールドカテゴリと推定人口を示した。初期開示の安定した SEC コピーはhttps://www.sec.gov/Archives/edgar/data/1048286/000162828018014745/a2018118k.htmにある。

ICO は後に、調査タイムラインと説明を検討した後、Marriott に対して最終的な第33条または第34条の認定を行わなかった。それは法的境界である。これは、顧客通知が最初のアラートから数か月後に、組織がエクスポートされたファイルを発見、復号、分類する能力に依存していたという運用上の現実を消し去るものではない。

カウントとフィールドは境界内に留める必要がある

Marriott の最初の通知は、約5億人のゲストを上限とし、そのうち約3億2700万件のレコードがより広範なフィールドの組み合わせを含んでいた。2019年1月の更新(https://marriott.gcs-web.com/news-releases/news-release-details/marriott-provides-update-starwood-database-security-incident)では、上限を約3億8300万レコードに引き下げ、重複があるためユニークなゲスト数はより少ないと警告した。ICO は後に、世界で3億3900万のゲストレコードを使用し、そのうち3010万が EEA 諸国、700万が英国に関連付けられていた。2024年の州間和解では、1億3150万の米国関連ゲストレコードが使用された。

これらの数字を積み重ねるべきではない。レコードはユニークな個人ではない。地域の部分集合は世界的な追加ではない。訴訟対象集団と規制対象集団は異なる手続き目的に役立つ。Marriott の2018年年次報告書(https://www.sec.gov/Archives/edgar/data/1048286/000162828019002337/mar-q42018x10k.htm)では、パスポートと支払いカードのカテゴリの推定値を更新し、インシデント費用と保険回収を記録したが、すべてのレコードを同じデータ露出に変換したわけではない。

フィールドの組み合わせも様々だった。最初の通知には、名前、住所、電話番号、メールアドレス、パスポート番号、Starwood Preferred Guest 情報、生年月日、性別、到着・出発情報、予約日、連絡先設定、一部の支払いカードデータが含まれていた。ICO は、VIP フラグ、部屋・滞在データ、フライト詳細、パスポート国と番号、チェックインステータス、部屋内の大人・子供の数など、テーブルレベルの詳細を説明した。一部のフィールドは詐欺に役立ち、他は標的型コンタクトに役立つ。財務資格情報がなくても、旅行パターンや世帯状況を明らかにするものもある。

支払いとパスポートの保護も公的説明で変化した。Marriott は当初、一部の支払いカード番号と一部のパスポート番号が AES-128 暗号化で保護されていると述べた。2024年4月、Marriott はインシデントページを更新し、関連する支払いカード番号と一部のパスポート番号が代わりに SHA-1 で保護されていたと述べた。FTC の消費者向けページ(https://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breach)は後にその違いを指摘した。NIST のハッシュ関数ページ(https://csrc.nist.gov/Projects/hash-functions)と SHA-1 移行通知(https://www.nist.gov/news-events/news/2022/12/nist-transitioning-away-sha-1-all-applications)は、SHA-1 がハッシュ関数である理由と、現代の保護が通常の暗号化として扱うべきでない理由を説明している。

2024年の訂正は、すべての保護された値が逆転または悪用されたことを証明するものではない。それは暗号インベントリの失敗を示している。グローバルな予約データとパスポートデータを扱う管理者は、どのフィールドが平文、暗号化、ハッシュ化、トークン化、その他の変換であるか、どのアルゴリズムが適用されるか、鍵やシークレットがどこに保持されているか、そしてそれらの事実が公表前にどのように検証されるかを知っているべきである。暗号化からハッシュ化への5年間の訂正は、影響を受ける人々や規制当局がリスクを読み取る方法を変える。

ICO が認定したことと認定しなかったこと

ICO の最終制裁告知は、Starwood 予約侵害に関する最も強力な公開行政記録である。その範囲は、2014年から2018年までの全ストーリーよりも狭かった。これは、GDPR が適用可能となった2018年5月25日から、リモートアクセス型トロイの木馬が特定され封じ込められた2018年9月17日までの Marriott の処理を対象とした。GDPR 以前の期間について GDPR 責任を課すことや、Marriott の買収前のデューデリジェンスが法的に不十分だったと判断したわけではない。

GDPR の条文(https://eur-lex.europa.eu/eli/reg/2016/679/oj)は、管理者に適切な技術的および組織的対策を実施することを求めており、その適切性はリスク、技術水準、コスト、状況、個人の権利に対して判断される。ICO はセキュリティ原則と第32条の違反を認定した。その4つの主要なセキュリティ認定は、特権アカウントの不十分な監視、不十分なデータベース監視、重要なシステムの不適切な管理、すべてのパスポート番号の暗号化の失敗に関するものだった。

特権アカウントに関する認定は、攻撃者が正規の資格情報を使用したために重要である。データベースやリモートセッションは、監視が資格情報の有効性にとどまっていると、承認されたように見える可能性がある。データベース監視に関する認定は、最終的に重要だったアラートが支払いカード関連性のあるテーブルに付随していた一方で、他の個人データには同等のアラートが欠けていたために重要である。重要なシステム管理に関する認定は、大規模な個人データストアに到達可能なシステムには強化と実行管理が必要なために重要である。パスポートに関する認定は、数百万のパスポート番号が暗号化されておらず、文書化されたリスク評価が不均一な保護を正当化していなかったために重要である。

ICO はまた、一般の再話でしばしば混同されるいくつかの問題を削除または最終化しなかった。Marriott の保証と支払いカードコンプライアンス報告への依存を検討した後、不完全な多要素認証の指摘を最終罰則から削除した。第33条の侵害通知に関する最終認定も、第34条の個人通知に関する最終認定も行わなかった。競合他社間の買収では、深い買収前のデューデリジェンスが制約される可能性があることを認識した。これらの境界は侵害を小さくするものではない。それは法的事実を正確にする。

Marriott は ICO の最終決定に対し(https://marriott.gcs-web.com/news-releases/news-release-details/marriott-international-update-conclusion-uk-ico-investigation)、控訴せず、責任を認めないと述べた。責任非承認の姿勢は手続き上のものである。それは ICO の最終的な行政認定と共存する。

サービスプロバイダとプラットフォームの信頼

Starwood の予約データベースは、単一のチームが所有して操作する単一の内部アプリケーションではなかった。Accenture が Starwood のゲスト予約データベースを管理し、Guardium が重要なアラートを生成し、ホテル運営が予約レコードを供給し、ロイヤルティおよびコンタクトセンタープロセスがプラットフォームに依存し、Marriott はホテルを移行しながら事業継続性を維持しなければならなかった。これにより、システムは単なるデータベースではなく、プラットフォーム信頼境界となる。

サードパーティ管理は証拠の問題を変える。管理者は運用をアウトソースできるが、ログ記録、エスカレーション、特権アクセスレビュー、変更管理、エクスポート監視、保持、インシデント対応の証拠が依然として必要である。マネージドサービスプロバイダは管理者よりも先にアラートを見ることができる。管理者は、ゲストデータがリスクにさらされているかどうか、通知義務が開始されたかどうかを判断するのに十分なコンテキストを依然として必要とする。2018年9月の一連の流れは、アラートチェーンが機能しても、スコープ特定が数週間未解決のままになる可能性があることを示している。

コネチカット州が発表した州和解(https://portal.ct.gov/ag/press-releases/2024-press-releases/multistate-settlement-with-marriott-for-data-breach-of-starwood-guest-reservation-database)と、提出されたバーモント州の判決(https://ago.vermont.gov/sites/ago/files/documents/2024.10.09%20Marriott%20Judgment%20VT%20and%20Appendix%20final.pdf)は、米国の州執行機関がその教訓を要件に変換した方法を示している。和解には、長期セキュリティ管理、買収エンティティの評価、フランチャイズおよびサービスプロバイダ関連義務、消費者支援、支払いが含まれていた。また、責任の否認も含まれていた。差止命令条項は、買収とサードパーティ境界を、一回限りのクロージング問題ではなく、継続的な管理義務として扱っているために重要である。

FTC の最終命令は、別の信頼境界層を追加する。これは、Starwood 予約インシデントだけでなく、Marriott と Starwood のより広範なセキュリティに関する申し立てをカバーしている。その買収条項はここで中心的である。買い手は、買収した企業のリスクを評価し、対処し、セキュリティプログラムに統合しなければならない。これはまさに Starwood データベースが明らかにした問題である。システムは分離され、廃止予定であり、商業的に必要であるかもしれない。それでも、買い手の管理下でゲストデータを保持している。

データ所在地は一つの事実に過ぎなかった

Marriott の最初の通知は、Starwood のゲスト予約データベースが米国にあると述べた。それは有用な保管事実だった。それは、ゲストが誰であるか、どのホテルやフランチャイズがデータベースにレコードを供給したか、スタッフやサービスプロバイダがどこからアクセスしたか、どの規制当局が権限を持つか、どのコピーが存在したか、エクスポートされたファイルやフォレンジックイメージが後にどこに存在したかには答えていない。

ICO は EEA および英国に関連するレコードをカウントした。なぜなら、人々と処理の文脈が欧州法の下で重要だったからである。米国の州は、和解のために米国関連のレコードをカウントした。Marriott の現在のプライバシーステートメント(https://www.marriott.com/about/privacy.mi)は、現在のビジネスにおけるグローバルな転送、転送メカニズム、セキュリティ、保持のコミットメントを説明している。これは2014年から2018年の Starwood アーキテクチャの証拠ではないが、グローバルホテルグループが単一のデータベース場所をガバナンスの回答全体として扱えない理由を示している。

予約システムにおけるデータ主権には複数の層がある。保管場所は、メインデータベース、レプリカ、バックアップ、エクスポート、ログ、フォレンジックイメージがどこに保持されているかを問う。アクセス場所は、どの従業員、請負業者、ホテル運営者、サービスプロバイダがデータに到達でき、どこから可能かを問う。法的場所は、ゲスト、ホテル、管理者、処理者、フランチャイズ契約、規制範囲に従う。ビジネス場所は、滞在の意味に従う。渡航日、同行者、VIP フラグ、航空会社の詳細、部屋のニーズ、目的地など。

Starwood 侵害は、米国に拠点を置くデータベースでもグローバルな規制リスクとグローバルな顧客被害を生み出しうることを示している。また、買収デューデリジェンスがプライマリストレージだけでなく、コピーとアクセスをマッピングしなければならない理由も示している。メインシステムがどこにあるかを知っていても、誰がテーブルをエクスポートできるか、またはどのパスポートフィールドが保護されているかを知らない買い手は、管理知識のない場所知識を持っている。

旅行データにおける不正接触の経済性

流出したデータは、不正のコストを引き下げるためにパスワードや完全なカード番号を含む必要はなかった。予約レコードは、メッセージを信頼できるものにすることができる。ホテルブランド、滞在日、ロイヤルティ関係、旅行先、フライト詳細、部屋の好み、家族構成の手がかり、連絡先設定などを含む。このような文脈は、詐欺師のメッセージをより一般的でなくするのに役立つ。

CISA のフィッシングガイダンス(https://www.cisa.gov/sites/default/files/2024-02/Update%20to%20Phishing%20General%20Security%20Postcard_01.01.2024.pdf)は、標的型フィッシングを、人物に関する重要な情報を使用するものと説明している。FTC の Marriott 消費者アドバイス(https://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breach)は、消費者に対し、侵害が悪用される可能性のある詐欺について警告した。IdentityTheft.gov のガイダンス(https://www.identitytheft.gov/databreach)は、流出した個人情報に対する一般的な対応手順を提供している。これらの情報源は、特定のゲストが特定の詐欺に遭ったことを証明するものではない。これらは、データカテゴリによって作られるリスク経路を裏付けている。

旅行データは、詐欺を超えた個人的な文脈も持つ。到着日と出発日は、自宅の不在、出張、医療旅行、家族訪問、または人間関係を明らかにする可能性がある。パスポート番号は耐久性のある識別子である。ロイヤルティ情報は、時間を超えて滞在を結びつけることができる。VIP フラグや部屋のリクエストは、サービスの期待や家族の状況を明らかにする可能性がある。したがって、カード詐欺が立証されていない場合でも、不正接触の経済性は影響分析に属する。

データ最小化の疑問が続く。チェックアウト後、ロイヤルティクレジット後、紛争期間後、税務期間後、法的手続き後、予約データはライブシステムにどれだけ保持すべきか?どのフィールドをトークン化、マスキング、削除、分離できるか?バックアップとエクスポートは、本番環境と同じ保持ロジックが必要である。さもなければ、レガシーデータベースは、運用上便利なためにデータを保持し続ける可能性があり、各フィールドが必要なためではない。

引き継がれたリスク記録のためのタイポグラフィノート

買収したシステムのセキュリティ記録は、経営幹部、エンジニア、弁護士、サービスプロバイダ、規制当局が同時に理解できるものでなければならない。密度の高い調査結果は、決定的なギャップを見えなくする可能性がある。以下のタイポグラフィブロックは、引き継がれたリスクの提示が、管理責任者が何を変えなければならないかを認識するかどうかに影響するために含まれている。

タイポグラフィとは、文字を配置して書かれた言語を読みやすく、可読性が高く、視覚的に魅力的にする技術および技法である。タイプフェイス、ポイントサイズ、行の長さ、行間、文字間隔の選択を含む。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが可動活字を発明したことに始まる。
  • 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。

買収において、読みやすい記録とは、既知の事実、売り手の表明保証、未検証の主張、必要なテスト、資格情報のアクション、データコピー、暗号状態、サービスプロバイダの義務、および廃止日を分離した1ページの境界マップを意味する。これらの要素が取引文書やツールのエクスポートに埋もれていると、組織はどのようなリスクを受け入れたかを知らずにリスクを受け入れたと信じる可能性がある。

実践的管理によるアカウンタビリティ

攻撃者は不正侵入、永続化、資格情報の悪用、データエクスポートを管理していた。ここでレビューされた公開記録は、攻撃者を特定したり、動機や国家の関与を判断したりするものではない。犯罪アクセスの責任は、それを実行した行為者に残る。

Starwood は、最初の侵害が発生した環境を管理していた。Marriott による買収前に、攻撃者が侵入し永続化することを可能にしたシステム、資格情報、監視を所有または運用していた。また、以前の POS 侵害の履歴を取引に持ち込んでいた。これは、Starwood が予約侵入者を知っていたことを証明するものではない。隠れた環境が売り手側の信託対象物であったことを意味する。

Marriott はクロージング後の環境と移行計画を管理していた。Starwood を所有すると、レガシー資格情報がリセットされたか、特権アカウントが監視されたか、データベースアラートが拡大されたか、重要なシステムが強化されたか、パスポートフィールドが評価されたか、暗号の主張が検証されたか、廃止経路が加速または緩和されたかを管理していた。Marriott はまた、発見後の顧客通知と公開更新を管理していた。その管理は、事業継続性と規模によって制約されていたが、存在しないわけではなかった。

サービスプロバイダは、管理運用、アラート、エスカレーションをその境界で管理していた。データベースを管理し、Guardium アラートをエスカレーションした Accenture の役割は、サードパーティ運用に明確なインシデント閾値、証拠の引き渡し、管理者権限が必要な理由を示している。サービスプロバイダは早期発見者になりうる。管理者は依然として、通知、範囲特定、修復を決定しなければならない。

規制当局は強制可能な是正を管理した。ICO の制裁金、州和解、FTC 命令は、セキュリティの教訓を義務に変換した。これらはすべての民事請求を証明するものではない。これらは、買収が買収前の知識状態で責任を凍結しないことを明確にしている。所有権は、引き継いだ統制をテストし改善する義務をもたらす。

ゲストはほとんど管理できなかった。彼らは部屋を予約し、ロイヤルティプログラムに参加し、パスポートと連絡先データを提供し、ホテル運営に依存した。事後にカードを監視したり、通知に応答したりすることはできたが、Starwood のデータベース監視を検査したり、特権資格情報をローテーションしたり、暗号化の声明を検証したり、システム廃止を加速したりすることはできなかった。この非対称性こそが、この問題がアカウンタビリティ記録に属する理由である。

検証可能な統合に必要なもの

修復の教訓は「レガシーシステムを決して買収するな」ではない。買収統合は、証拠を伴うセキュリティ事実発見を含まなければならない。買い手は、クロージング前に高リスクのレガシーシステムを分類し、クロージング後直ちに検証を開始すべきである。特権 ID のリセット、サービスプロバイダアクセスレビュー、エンドポイントおよびサーバーのハント、データベースエクスポートログ記録、統制カバレッジの比較、暗号インベントリ、データ保持レビュー、バックアップマッピング、移行リスク評価など。

予約データベースの場合、証拠はフィールドレベルおよびコピーレベルであるべきである。どのテーブルがパスポート番号を保持しているか?どれが支払いカードの残骸を保持しているか?どれが旅行同伴者、子供、ロイヤルティ識別子、連絡先設定を保持しているか?どのフィールドが平文、暗号化、ハッシュ化、トークン化されているか?どのアプリケーションがそれらを要求できるか?どのユーザーがそれらをエクスポートできるか?どのログが全テーブルコピーを示しているか?どのバックアップがそれらを保存しているか?どの法的またはビジネス目的が保持を正当化するか?

サードパーティの信頼については、買い手はどのプロバイダがシステムを管理しているか、どのアラートを受け取るか、どの閾値がエスカレーションを必要とするか、どのログを保持しているか、どの資格情報を保持しているか、サブコントラクタがどのように統制されているか、そして侵害疑い後に管理者がどのように証拠を入手できるかを知るべきである。ベンダーレポートは、特定のシステムとデータカテゴリに結びつけられない限り、十分ではない。

通知については、組織はゲスト固有の説明を生成できるべきである。どのフィールド、どの期間、どのレコードソース、どの保護措置、どのような不確実性が残るか、どのような更新が続くかなど。最初は広範な通知が必要かもしれないが、後にカウント、フィールド、または暗号事実が変化した場合には訂正が期待されるべきである。

廃止はリスク除去と同じではない

Marriott の Starwood 予約プラットフォーム廃止計画は、商業的および運用上重要だった。廃止は強力な管理になりうる。ライブ攻撃面を減らし、より適切に統制されたプラットフォームへの移行を強制し、レガシー資格情報とツールへの依存を終わらせることができる。しかし、廃止は即時のリスク除去ではない。廃止予定のシステムは、予約を処理し、ホテルをサポートし、履歴レコードを含んでいる限り、非常に機密性が高いままである。

Marriott が説明した2年間の移行は、移行期間を生み出した。その期間中、引き継いだプラットフォームは依然として監視、強化、資格情報レビュー、エクスポートログ記録、データ最小化を必要とした。廃止日は、日付が到来する前に弱い管理を正当化するものではない。場合によっては逆のリスクを生み出す可能性がある。チームは廃止予定のシステムに管理を投資することを躊躇し、攻撃者は残された期間から利益を得る。

安全な廃止計画には、「ビジネス運用にシステムを使用しない」というよりもマイルストーンが必要である。バックアップ、レプリカ、エクスポート、フォレンジックイメージ、管理者アカウント、サービスアカウント、ベンダーアクセス、暗号鍵、ログストア、データフィード、下流のコピーを特定すべきである。法的またはビジネス上の理由で何を保存し、何を削除または変換すべきかを決定すべきである。廃止された資格情報が依然としてアーカイブに到達できないことを検証すべきである。訴訟や規制審査に必要な証拠を保存し、不必要なデータを露出させたままにしてはならない。

Starwood の事例は、これがなぜ重要かを示している。ライブ予約データベースは2018年末までに廃止されたと報告されているが、侵害調査、規制措置、クラスアクション訴訟、州和解、FTC 命令、暗号訂正は何年も続いた。システムは本番環境を離れ、アカウンタビリティの中心であり続けることができる。それに含まれていたもの、誰がアクセスしたか、どのように保護されていたか、コピーがどのように処理されたかの記録は、その後のすべての手続きの証拠基盤となる。

廃止はまた、ゲストの権利と相互作用する。ゲストがどのデータが関与したかを尋ねた場合、その答えは古いプラットフォームと共に消えてはならない。規制当局がなぜフィールドが保持されたか、またはどのように保護されていたかを尋ねた場合、組織は移行後も記録を必要とする。企業が後に暗号の説明を訂正した場合、古いアプリケーションの動作と保存された値を十分に理解して訂正を説明しなければならない。管理証拠の保存を伴わない廃止は、後の真実発見を困難にする可能性がある。

暗号管理は経営管理である

AES から SHA-1 への訂正は、しばしば技術的な脚注として扱われる。それは管理統制のシグナルとして理解する方が良い。暗号化は、組織が実際にどのような保護が適用されているかを知っている場合にのみ人々を保護する。その知識は、合併、ベンダー運用、レガシーアプリケーション、公表、訴訟を生き残らなければならない。

フィールドレベルの暗号インベントリは、いくつかの質問に答えるべきである。どのフィールドが保護されているか?変換は可逆的な暗号化、一方向ハッシュ、トークン化、マスキング、切り捨て、その他の方法か?どのアルゴリズムとモードが使用されているか?ソルトやキーは存在するか?キーやシークレットはどこに保存されているか?どのアプリケーションが元の値を要求できるか?どのログが使用を示しているか?以前のバージョンは異なる方法を使用していたか?どの通知やポリシーが保護を説明しているか?誰が公表前にその声明を認証する権限を持っているか?

買収したシステムでは、これらの答えは売り手の文書、コード、データベース設定、ベンダーノート、開発者の記憶、古いコンプライアンス報告に散在している可能性がある。買い手は、ラベルがテストされるまで誤っている可能性があると想定すべきである。「保護」だけでは不十分である。「暗号化」だけでは不十分である。フィールド名がトークンやハッシュで終わっているだけでは不十分である。証拠には、保存された値、アプリケーション呼び出し、キーサービス、リカバリパスの検査が必要である。

パスポート番号に関する認定も同じ点を補強する。問題は、数百万のパスポート番号が暗号化されていなかったことだけではなかった。Marriott が、一部のパスポート番号が他と異なって扱われた理由を説明する文書化されたリスク評価を欠いていたことである。選択的な保護は合理的でありうる。それはレガシー制約、ビジネスニーズ、段階的移行を反映している可能性がある。しかし、それは文書化され、露出の結果に対してレビューされなければならない。さもなければ、不均一な保護はリスク決定ではなく事故のように見える。

暗号管理は通知の質にも影響する。組織が人々にカードやパスポートの値が暗号化されていると伝えた場合、その人は、値が SHA-1 でハッシュ化されているか、暗号化されていない場合とは異なるリスクを合理的に推測するかもしれない。組織が後にその説明を変更した場合、訂正は何が変わったか、どの値が影響を受けるか、悪用にとって何を意味するか、どのような不確実性が残るかを述べるべきである。これは単なるコミュニケーション上の衛生ではない。これは、本人確認データのアカウンタブルな管理の一部である。

買収プレイブックは未知のものを挙げるべきだ

取引文化は自信に報いる。セキュリティ統合には未知のリストが必要である。買い手は、引き継いだ環境のどの部分が検証され、どれが売り手によって表明され、どれが事業継続性のために仮定され、どれが未テストのままであるかを知るべきである。未知のものを受け入れられたリスクとしてラベル付けするリスク登録は、広範な保証の背後に未知のものを隠すデューデリジェンスメモよりも強力である。

グローバル予約プラットフォームの場合、未知のものには、データコピー、特権アカウント、サービスプロバイダアクセス、外部向けシステム、古い侵害の痕跡、サポートされていないソフトウェア、ログのギャップ、暗号状態、保持が含まれるべきである。各未知のものにはオーナーと日付が必要である。一部は移行によって解決される。一部はシステムがライブのまま補償的統制を必要とする。一部は、買い手がデータボリュームを理解すると、受け入れられなくなる可能性がある。

このアプローチはまた、買い手を誤った事後判断から保護する。クロージング前にすべての事実を知ることができないことを認める。そして、不確実性を減らすためのクロージング後の義務を生み出す。失敗は、初日にすべてを知ることができないことではない。失敗は、初日の不確実性が2年目の不確実性になることを許し、引き継いだシステムがゲストデータを保持し続けることである。

通知の質は統合の質に依存する

顧客通知はしばしば法的な期限の問題として扱われる。Starwood のインシデントは、通知の質が侵害が確認されるずっと前の統合の質に依存することを示している。組織が、どのテーブルがどのフィールドを保持しているか、重複がどのように人にマッピングされるか、いくつのパスポート番号が平文か、どの値が保護されているか、どのレコードがどの地域に属するかを知らない場合、通知は広範か、遅いか、訂正されるか、またはその3つすべてとなる。

Marriott の最初の通知は、調査員がまだレコードと重複を分類中だったため、慎重な上限を使用した。これは大規模な引き継いだシステムでは不可避かもしれない。しかし、長期的な管理の教訓は、高リスクシステムにはゲストデータカタログが既に存在すべきだということである。それらは、フィールドの目的、機密性、地域、保持、暗号状態、アクセスロール、エクスポートパスを記述すべきである。それらは、アプリケーションのドキュメントだけでなく、実際のデータベースの内容と調整されるべきである。

これはまた規制当局にも影響する。通知のタイミングや適切性を評価する規制当局は、管理者がいつ個人データが関与していることに気付いたか、どの事実が合理的に利用可能だったかを知る必要がある。管理者自身の統合プロセスがアカウントテーブルとパスポートテーブル、または重複レコードとユニークなゲストを区別できない場合、法的分析は技術的負債と絡み合う。より良い統合は、インシデントの混乱と後の法的不確実性の両方を減らす。

同じ原則が公的訂正にも適用される。Marriott の2024年の SHA-1 更新は、元の暗号化の説明とは実質的に異なっていた。数年後の訂正は、事実が判明した後の責任ある行為かもしれないが、それは元の証拠連鎖が十分に強固ではなかったことも示している。買収後のセキュリティプログラムには、公的な暗号の説明が通知前に技術所有者によって検証され、レガシー証拠が変更された場合に定期的に再検討されるというルールを含めるべきである。

ホスピタリティ業界におけるクラウド依存

このマニフェストは、予約プラットフォームが、現代的な意味でのパブリッククラウドでなかったとしても、グローバルホスピタリティビジネスの共有インフラとして機能したため、このケースを部分的にクラウドサービス依存として分類している。ホテル、コンタクトセンター、ロイヤルティサービス、マネージドサービスプロバイダ、企業チームはすべて、中央プラットフォームの可用性と整合性に依存していた。そのプラットフォームは、多くの施設と管轄区域からのデータを集中させた。

この依存関係が、侵害が企業所有者以上に影響を及ぼした理由である。フランチャイジー、マネージドホテル、ゲスト、支払いカードチーム、パスポート保持者、ロイヤルティメンバー、規制当局、サービスプロバイダはすべて、同じ引き継いだシステムに利害関係を持っていた。地元のホテルはデータベース監視を検査できなかった。ゲストはパスポートフィールドが暗号化されているかどうかを知ることができなかった。サービスプロバイダはアラートをエスカレーションできたが、ゲスト通知とグローバル対応を調整できるのは管理者だけだった。

買収計画にとって、実践的な管理は依存関係のマッピングである。レガシー予約プラットフォームが隔離された場合、どのビジネス機能が停止するか?どのホテルがまだそれに依存しているか?移行中にどのデータフィードが継続するか?どのサードパーティがそれにアクセスできるか?どの顧客コミットメントがそれに依存しているか?技術コンポーネントのみをマッピングする買い手は、リスクのあるシステムを存続させかねないビジネスプレッシャーを見逃す。依存関係をマッピングする買い手は、移行が進む間に補償的統制を正当化できる。

最終評価は、影響が大きく、確信度も高い。Marriott は、侵害された稼働中の予約プラットフォームを引き継いだ。その事実は、Marriott を最初の侵入者にするものでも、クロージング前にすべての詳細を知り得たと証明するものでもない。それは、買収したシステムを管理し、ゲストデータを処理し、サードパーティの信頼を検証された管理に変換しなければならなかったクロージング後の期間について、Marriott にアカウンタビリティを負わせる。買収はブランドを一夜で買うことができる。確実性を買うことはできない。確実性は構築され、テストされ、示されなければならない。

タイポグラフィ

タイポグラフィとは、文字を配置して書かれた言語を読みやすく、可読性が高く、視覚的に魅力的にする技術および技法である。タイプフェイス、ポイントサイズ、行の長さ、行間、文字間隔の選択を含む。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが可動活字を発明したことに始まる。
  • 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。