要約

  • スターウッドの予約環境は、マリオットが2016年9月23日にスターウッドの買収を完了する2年以上前の2014年7月下旬に侵害された。マリオットの買収提出書類はhttps://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360d8k.htmに、英国 ICO の最終罰金通知はhttps://ico.org.uk/media2/migrated/2618524/marriott-international-inc-mpn-20201030.pdfにある。
  • 根本的な説明責任の問題は、マリオットが買収前にすべての隠れた事実を知ることができたかどうかではない。買収後の権限が、継承された予約データベース、特権認証情報、データベース監視、暗号化インベントリ、サービスプロバイダーの境界、データ廃止に対する検証済みの管理にどれだけ迅速に変わったかである。
  • 規制当局はその後異なる道をとった。ICO は GDPR 期間のセキュリティ障害に対して1840万ポンドの罰金を科し、米国の州は5200万ドルの和解に達し、FTC は20年間の命令を課した。マリオットは州の和解で責任を認めず、ICO の罰金を控訴しなかった。
  • 記録は、継承された運用リスク、発見の遅れ、不完全な監視、不均一なパスポート保護、変化する暗号化の説明、執行可能な是正を裏付けている。正確な個人の数の特定、攻撃者の公的な特定、または影響を受けたすべてのゲストが完全な詐欺を受けたという証明は裏付けていない。

買収はセキュリティの証明ではない

企業の買収はしばしば商業的な用語で説明される。ブランド、客室、ロイヤルティ会員、市場、取引額などである。スターウッドの侵害は、生きたデータシステムがなぜサードパーティの信頼境界でもあるかを示している。買収完了前に、買い手は表明、デューデリジェンス資料、コンプライアンスレポート、アーキテクチャの概要、侵害開示を受ける可能性がある。買収完了後、買い手は運用権限を継承する。セキュリティの真実はその両方に遅れる可能性がある。

マリオットは2015年11月にスターウッドの買収に合意し、2016年9月23日に買収を完了した。スターウッドは間接的な完全子会社となった。この取引は、客室数とブランド数で世界最大のホテル会社を生み出し、買収資料に記載されているグローバルな予約フットプリントを持つ。しかし、予約データベースのセキュリティの真実は、そのビジネス価値と同じではなかった。ICO によると、後に予約侵害に関連する侵入は2014年7月下旬に始まった。

この時系列が重要なのは、攻撃者が最初に侵入したときにマリオットがスターウッドを所有していなかったからである。また、買収完了後も侵害された予約システムが稼働し続けている間にマリオットが同社を所有していたからでもある。マリオットの当時の最高経営責任者は2019年に米国上院小委員会に対し、マリオットとスターウッドは競合関係にあったため買収前の技術レビューは限定的であり、マリオットはスターウッドの予約プラットフォームを廃止することを決定し、1,270のホテルの移行に2年かかったと述べた。証言はhttps://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/Soresnson%20Testimony.pdfにある。これらの制約は現実的である。しかし、ゲストデータを処理し続ける環境を検証する買収後の義務を排除するものではない。

その区別は信頼境界である。買収前、スターウッドは第三者だった。買収後、スターウッドのシステムは、技術的にはより広いマリオットネットワークから分離されていたとしても、マリオットの継承された運用システムとなった。ICO は、スターウッドとより広いマリオットネットワークは分離されたままであり、攻撃者はスターウッド以外のシステムでのみ処理されたデータには到達しなかったと認定した。分離は爆発半径を減らした。また、レガシーシステムが侵入者が持続する別の場所であり続ける可能性も意味した。

したがって、説明責任のある買収後の問いは証拠に基づく。どの特権アカウントが再検証されたか、どのサービスプロバイダーの認証情報がローテーションされたか、どのデータベーステーブルが監視されたか、どのエクスポートが記録されたか、どの暗号化の主張がテストされたか、どのデータフィールドがマッピングされたか、どのコピーが廃止されたか、そしてレガシーシステムの真実が売り手の書類をどれだけ迅速に置き換えたかである。

隠された履歴が既知のセキュリティ履歴と衝突した

スターウッドの予約侵害は、スターウッドの以前の POS 侵害と混同されるべきではないが、以前の侵害は買収リスクの文脈に属する。スターウッドの2015年年次報告書https://www.sec.gov/Archives/edgar/data/316206/000156459016013371/hot-10k_20151231.htmは、一部のホテルの POS システムに影響を与えるマルウェアを開示し、その時点では予約またはロイヤルティシステムが影響を受けたという兆候はないと述べていた。その声明は隠された予約侵入者を明らかにしなかった。しかし、スターウッドが買い手の精査を必要とする最近のセキュリティ問題を抱えていることを示した。

連邦取引委員会の2024年の申し立てhttps://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottcomplaint_0.pdfは後に、スターウッドとマリオットに関連する弱点を含む、複数の侵害にわたるより広範な障害を主張した。申し立ては同意によって解決され、裁判の認定として扱われるべきではない。ここでの価値は、規制当局が後に強調した管理テーマ、つまりセグメンテーション、アクセス制御、パッチ適用、多要素認証、監視、暗号化保護、データ保持、買収先評価を示すことである。

FTC の最終命令https://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottfinalorder.pdfは、これらのテーマを長期的な義務に変えた。セキュリティプログラム、プライバシープログラム要素、買収関連評価、リスク分析、アクセス制御、監視、テスト、削除および保持管理、取締役会への報告、認定、独立した評価を要求している。この命令は申し立てのすべての主張を証明するものではない。規制当局が、継承され繰り返される侵害リスクの後に必要な将来を見据えた管理と見なしたものを示している。

取引チームにとっての教訓は実用的である。売り手の以前の侵害開示は、隣接するシステムの健全性証明書ではない。コンプライアンスレポートはある環境をカバーし、別の環境を見逃す可能性がある。ある POS インシデントで予約システムが影響を受けたと示されていなかったという声明は、別の侵入からクリーンであることを証明するものではない。買い手は、特に移行に数年かかる場合、価値の高いレガシーシステムに対して買収後の脅威ハンティングと制御検証計画を必要とする。

タイムライン:ビジネス管理、技術的検出、ゲスト通知は異なる時計

少なくとも5つの日付が記録を固定する。2014年7月下旬は侵入者がスターウッド環境に侵入した時点。2016年9月23日はマリオットの買収完了。2018年5月25日は ICO の法的分析における GDPR の適用開始。2018年9月7日と8日はデータベースアラートとマリオットへのエスカレーション。2018年11月19日は、マリオットが調査員がファイルを復号し、スターウッド予約データベースからの個人情報が関与していることを確認したと発表した日。

ICO の罰金通知は、スターウッドの従業員アプリケーションをサポートするデバイス上のウェブシェルを通じた2014年7月下旬の侵入を再構築している。攻撃者はリモートアクセスツールを使用し、認証情報を収集し、環境を移動し、最終的にデータベーステーブルをエクスポートした。公開記録は、完全なホストリスト、完全なファイルリスト、または正確な初期脆弱性を提供していない。しかし、買収前後を通じて長期にわたる不正な存在を確立している。

2018年9月7日、IBM Guardium は、管理者アカウントが保護されたゲストプロファイルテーブルの行数を照会した後にアラートを生成した。スターウッドのゲスト予約データベースを管理していたアクセンチュアは、9月8日にマリオットにエスカレーションした。マリオットは、認証情報が使用された人物がクエリを実行していないことを知った。このイベントは不審なアクティビティの検出であり、エクスポートされたすべてのファイルの即時の知識ではなかった。これが最終的な発見経路を開始した。

その後の数日間は、アラート、封じ込め、範囲設定が別々である理由を示している。マリオットはインシデント対応を発動し、外部の調査員を雇った。ICO によると、9月10日に別のパスポート関連テーブルがダンプファイルにエクスポートされた。9月17日、調査員はリモートアクセストロイの木馬を特定し、コマンド&コントロール活動をブロックした。10月、調査員は侵入履歴を2014年まで遡らせる証拠を特定した。11月13日、暗号化および削除されたファイルの痕跡を発見した。11月19日、ファイルを復号し、予約データベースからの個人情報が含まれていることを確認した。

マリオットは11月22日に ICO に通知し、11月30日に公表した。同社の通知https://marriott.gcs-web.com/news-releases/news-release-details/marriott-announces-starwood-guest-reservation-database-securityは、データベースが米国にあり、初期のフィールドカテゴリと人口推定値を示した。初期開示の安定した SEC コピーはhttps://www.sec.gov/Archives/edgar/data/1048286/000162828018014745/a2018118k.htmにある。

ICO はその後、調査のタイムラインと表明を考慮して、マリオットに対する最終的な第33条または第34条の認定を行わなかった。これは法的な境界である。顧客通知が、最初のアラートから数か月後に組織がエクスポートされたファイルを発見、復号、分類する能力に依存していたという運用上の現実を消し去るものではない。

カウントとフィールドは境界を保つ必要がある

マリオットの最初の通知は、最大約5億人のゲストという上限と、約3億2700万件のレコードのサブセットがより広範なフィールドの組み合わせを含むと使用した。2019年1月の更新https://marriott.gcs-web.com/news-releases/news-release-details/marriott-provides-update-starwood-database-security-incidentでは上限を約3億8300万件に引き下げ、重複により一意のゲスト数が少なくなることを警告した。ICO は後に全世界で3億3900万件のゲストレコードを使用し、そのうち3010万件が EEA 諸国、700万件が英国に関連するとした。2024年の多州和解では、米国関連のゲストレコード1億3150万件を使用した。

これらの数字は積み重ねるべきではない。レコードは一意の個人ではない。地域のサブセットはグローバルな追加ではない。訴訟人口と規制人口は異なる手続き目的を果たす。マリオットの2018年年次報告書https://www.sec.gov/Archives/edgar/data/1048286/000162828019002337/mar-q42018x10k.htmは、パスポートと支払いカードカテゴリの推定値を更新し、インシデントコストと保険回収を記録したが、すべてのレコードを同じデータ曝露に変換したわけではない。

フィールドの組み合わせもさまざまであった。最初の通知は、名前、住所、電話番号、メールアドレス、パスポート番号、スターウッド・プリファード・ゲスト情報、生年月日、性別、到着および出発情報、予約日、通信設定、一部の支払いカードデータをリストした。ICO は、VIP フラグ、客室および滞在データ、フライト詳細、パスポート国と番号、チェックインステータス、客室内の大人または子供の数など、テーブルレベルの詳細を説明した。一部のフィールドは詐欺に役立つ。その他はターゲットを絞った連絡に役立つ。財務認証情報がなくても、旅行パターンや世帯のコンテキストを明らかにするものもある。

支払いとパスポートの保護も公開説明で変更された。マリオットは当初、一部の支払いカード番号と一部のパスポート番号が AES-128 暗号化で保護されていると説明した。2024年4月、マリオットはインシデントページを更新し、関連する支払いカード番号と一部のパスポート番号が代わりに SHA-1 で保護されていたと述べた。FTC の消費者ページhttps://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breachは後にその違いを指摘した。NIST のハッシュ関数ページhttps://csrc.nist.gov/Projects/hash-functionsと SHA-1 移行通知https://www.nist.gov/news-events/news/2022/12/nist-transitioning-away-sha-1-all-applicationsは、SHA-1 がハッシュ関数であり、最新の保護がそれを通常の暗号化として扱うべきではない理由を説明している。

2024年の修正は、保護されたすべての値が逆引きされたり悪用されたりしたことを証明するものではない。しかし、暗号化インベントリの失敗を示している。グローバルな予約とパスポートデータを取り扱う管理者は、どのフィールドがプレーンテキスト、暗号化、ハッシュ化、トークン化、またはその他の変換が行われているか、どのアルゴリズムが適用されるか、キーまたはシークレットがどこに保持されているか、そしてこれらの事実が公表前にどのように検証されるかを知るべきである。暗号化からハッシュ化への5年後の修正は、影響を受ける人々と規制当局がリスクを読む方法を変える。

ICO が発見したことと、発見しなかったこと

ICO の最終罰金通知は、スターウッド予約侵害に関する最も強力な公開行政記録である。その範囲は2014年から2018年までの完全なストーリーよりも狭かった。GDPR が適用可能になった2018年5月25日から、リモートアクセストロイの木馬が特定され封じ込められた2018年9月17日までのマリオットの処理を取り扱った。GDPR 以前の期間に対する GDPR 責任を課さず、マリオットの買収前のデューデリジェンスが法的に不十分であったと判断しなかった。

GDPR テキストhttps://eur-lex.europa.eu/eli/reg/2016/679/ojは、管理者がリスク、技術水準、コスト、状況、個人の権利に対して適切性が判断される適切な技術的および組織的措置を実施することを要求している。ICO はセキュリティ原則と第32条の違反を認定した。その4つの主要なセキュリティ認定は、特権アカウントの不十分な監視、不十分なデータベース監視、重要なシステムの不適切な管理、およびすべてのパスポート番号の暗号化の失敗に関するものであった。

特権アカウントの認定が重要なのは、攻撃者が正当な認証情報を使用したからである。データベースまたはリモートセッションは、監視が認証情報の有効性で停止した場合、許可されたように見える可能性がある。データベース監視の認定が重要なのは、最終的に重要だったアラートが支払いカード関連のテーブルに付加されていたのに対し、他の個人データには同等のアラートが欠けていたからである。重要なシステム管理の認定が重要なのは、大規模な個人データストアに到達できるシステムは、強化および実行制御を備えるべきだからである。パスポートの認定が重要なのは、何百万ものパスポート番号が暗号化されておらず、不均一な保護を正当化する文書化されたリスク評価がなかったからである。

ICO はまた、公開された再話でしばしば曖昧にされるいくつかの問題を削除または最終化しなかった。マリオットの保証および支払いカードコンプライアンス報告への依存を考慮した後、不完全な多要素認証のポイントを最終罰金から削除した。最終的な第33条の侵害通知認定も、最終的な第34条の個人通知認定も行わなかった。競合他社間の買収において、買収前の深いデューデリジェンスが制約される可能性があることを認めた。これらの境界は侵害を小さくするものではない。法的記録を正確にする。

マリオットは ICO の最終決定に応答してhttps://marriott.gcs-web.com/news-releases/news-release-details/marriott-international-update-conclusion-uk-ico-investigationで、控訴しないことと責任の承認をしないことを述べた。非承認の姿勢は手続き上のものである。ICO の最終的な行政認定と共存する。

サービスプロバイダーとプラットフォームの信頼

スターウッドの予約データベースは、単一のチームが所有し触れる内部アプリケーションではなかった。アクセンチュアがスターウッドのゲスト予約データベースを管理し、Guardium が重要なアラートを生成し、ホテル運営が予約記録を供給し、ロイヤルティおよびコンタクトセンタープロセスがプラットフォームに依存し、マリオットはホテルを移行しながら事業継続性を維持しなければならなかった。これにより、システムは単なるデータベースではなく、プラットフォームの信頼境界となる。

サードパーティの管理は証拠の問題を変える。管理者は運用を外部委託できるが、それでもロギング、エスカレーション、特権アクセスレビュー、変更管理、エクスポート監視、保持、インシデント対応の証拠が必要である。管理サービスプロバイダーは管理者より先にアラートを確認できる。管理者は、ゲストデータがリスクにさらされているかどうか、通知義務が開始されたかどうかを判断するために十分なコンテキストを依然として必要とする。2018年9月のシーケンスは、アラートチェーンが機能しても、範囲設定が数週間未解決のままになる可能性があることを示している。

コネチカット州が発表した州の和解https://portal.ct.gov/ag/press-releases/2024-press-releases/multistate-settlement-with-marriott-for-data-breach-of-starwood-guest-reservation-databaseとバーモント州の判決https://ago.vermont.gov/sites/ago/files/documents/2024.10.09%20Marriott%20Judgment%20VT%20and%20Appendix%20final.pdfは、米国の州執行当局がその教訓を要件にどのように変換したかを示している。和解には、長期的なセキュリティ管理、買収先評価、フランチャイズおよびサービスプロバイダー関連の義務、消費者支援、支払いが含まれていた。また、責任の承認は含まれていなかった。差止命令の条件が重要なのは、買収とサードパーティの境界を一時的なクロージングの問題ではなく、継続的な管理義務として扱うからである。

FTC の最終命令は、別の信頼境界レイヤーを追加する。スターウッドの予約インシデントだけでなく、マリオットとスターウッドのセキュリティ申し立てのより広いセットをカバーしている。その買収条項はここで中心的である。買い手は買収した企業のリスクを評価し対処し、それらをセキュリティプログラムに統合しなければならない。これはまさにスターウッドのデータベースが明らかにした問題である。システムは分離され、廃止が予定され、商業的に必要である可能性がある。それでも、買い手の管理下でゲストデータを保持している。

データの所在地は一つの事実に過ぎない

マリオットの最初の通知は、スターウッドのゲスト予約データベースが米国にあると述べていた。それは有用なストレージの事実だった。しかし、ゲストが誰か、どのホテルやフランチャイズがデータベースに記録を供給したか、スタッフやサービスプロバイダーがどこからアクセスしたか、どの規制当局が権限を持っていたか、どのコピーが存在したか、またはエクスポートされたファイルやフォレンジックイメージが後でどこにあったかについては答えていなかった。

ICO は、欧州法の下で個人と処理のコンテキストが重要であるため、EEA および英国関連の記録をカウントした。米国の州は和解のために米国関連の記録をカウントした。マリオットの現在のプライバシーステートメントhttps://www.marriott.com/about/privacy.miは、現在のビジネスにおけるグローバルな転送、転送メカニズム、セキュリティ、保持のコミットメントを説明している。これは2014年から2018年のスターウッドアーキテクチャの証明ではないが、グローバルホテルグループが単一のデータベースの所在地を全体のガバナンスの答えとして扱うことができない理由を示している。

予約システムにおけるデータ主権にはいくつかの層がある。ストレージの所在地は、メインデータベース、レプリカ、バックアップ、エクスポート、ログ、フォレンジックイメージがどこに保持されているかを問う。アクセスの所在地は、どの従業員、請負業者、ホテル運営者、サービスプロバイダーがどこからデータに到達できるかを問う。法的な所在地は、ゲスト、ホテル、管理者、処理者、フランチャイズ契約、規制の到達範囲に従う。ビジネスの所在地は、旅行日、同行者、VIP フラグ、航空会社の詳細、客室のニーズ、目的地など、滞在の意味に従う。

スターウッドの侵害は、米国ベースのデータベースが依然としてグローバルな規制上のエクスポージャーとグローバルな顧客への害を生み出す可能性があることを示している。また、買収のデューデリジェンスがプライマリストレージだけでなく、コピーとアクセスをマッピングしなければならない理由も示している。メインシステムがどこにあるかは知っていても、誰がテーブルをエクスポートできるか、またはどのパスポートフィールドが保護されているかを知らない買い手は、所在地の知識はあるが管理の知識はない。

旅行データにおける悪用連絡の経済学

露出したデータは、悪用のコストを削減するためにパスワードや完全なカード番号を含む必要はなかった。予約記録はメッセージを信頼できるものにすることができる。ホテルブランド、滞在日、ロイヤルティ関係、旅行先、フライト詳細、客室の好み、家族構成の手がかり、または通信設定に言及することができる。このコンテキストは、詐欺師がより一般的でないように見せかけるのに役立つ。

CISA のフィッシングガイダンスhttps://www.cisa.gov/sites/default/files/2024-02/Update%20to%20Phishing%20General%20Security%20Postcard_01.01.2024.pdfは、標的型フィッシングを個人に関する重要な情報を使用するものとして説明している。FTC のマリオット消費者向けアドバイスhttps://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breachは、侵害を悪用する可能性のある詐欺について消費者に警告した。IdentityTheft.gov のガイダンスhttps://www.identitytheft.gov/databreachは、露出した個人情報に対する一般的な対応手順を提供している。これらの情報源は、特定のゲストが特定の詐欺に遭ったことを証明するものではない。データカテゴリによって生み出されたリスク経路を裏付けている。

旅行データには、詐欺を超えた個人のコンテキストもある。到着日と出発日は、自宅不在、出張、医療旅行、家族訪問、または関係を明らかにする可能性がある。パスポート番号は耐久性のある識別子である。ロイヤルティ情報は、時間の経過とともに滞在を結びつけることができる。VIP フラグや客室リクエストは、サービスへの期待や家族の状況を明らかにする可能性がある。したがって、悪用連絡の経済学は、カード詐欺が確立されていない場合でも、影響分析に属する。

データ最小化の問いが続く。以前の予約データはどのくらいの期間、稼働システムに残すべきか?チェックアウト後、ロイヤルティクレジット後、異議申立期間後、税務期間後、または法的保持後、どのフィールドが必要か?どのフィールドをトークン化、マスキング、削除、または分離できるか?バックアップとエクスポートは、本番環境と同じ保持ロジックを必要とする。そうでなければ、レガシーデータベースは、各フィールドが必要だからではなく、運用上都合が良いからデータを保持し続ける可能性がある。

継承リスク記録のためのタイポグラフィノート

買収されたシステムのセキュリティ記録は、経営陣、エンジニア、弁護士、サービスプロバイダー、規制当局が同時に読める必要がある。密度の高い調査結果は決定的なギャップを隠す可能性がある。以下のタイポグラフィブロックは、継承リスクの提示が、管理責任者が何を変更すべきかを認識するかどうかに影響するため、含まれている。

買収において、読みやすい記録とは、既知の事実、売り手の表明、未検証の主張、必要なテスト、認証情報のアクション、データコピー、暗号化ステータス、サービスプロバイダーの義務、廃止日を分離した1ページの境界マップを意味する。これらの要素が取引文書やツールのエクスポートに埋もれている場合、組織は何のリスクを受け入れたかを知らずにリスクを受け入れたと信じる可能性がある。

実践的な管理による説明責任

攻撃者は、不正な侵入、永続化、認証情報の悪用、データのエクスポートを管理していた。ここでレビューされた公開記録は、攻撃者を特定したり、動機や国家との関係を判断したりしていない。犯罪的なアクセスの責任は、それを実行した行為者にある。

スターウッドは、最初の侵害が発生した時点で環境を管理していた。マリオットの買収前に攻撃者が侵入し永続することを可能にしたシステム、認証情報、監視を所有または運用していた。また、以前の POS 侵害の履歴を取引に持ち込んだ。これはスターウッドが予約侵入者を知っていたことを証明するものではない。隠された環境が売り手側の信頼対象であったことを意味する。

マリオットは買収後の環境と移行計画を管理していた。スターウッドを所有すると、レガシー認証情報がリセットされたか、特権アカウントが監視されたか、データベースアラートが拡大されたか、重要なシステムが強化されたか、パスポートフィールドが評価されたか、暗号化の主張が検証されたか、廃止経路が加速または緩和されたかを管理していた。マリオットはまた、発見後の顧客通知と公開アップデートを管理していた。その管理は事業継続性と規模によって制約されていたが、存在しないわけではなかった。

サービスプロバイダーは、管理された運用、アラート発信、自らの境界でのエスカレーションを管理していた。アクセンチュアのデータベース管理と Guardium アラートのエスカレーションにおける役割は、サードパーティの運用が明確なインシデントしきい値、証拠の引き渡し、管理者の権限を持たなければならない理由を示している。サービスプロバイダーは早期発見者になり得る。それでも管理者は通知、範囲設定、是正を決定しなければならない。

規制当局は執行可能な是正を管理していた。ICO の罰金、州の和解、FTC の命令は、セキュリティの教訓を義務に変換した。すべての私的請求を証明するものではない。しかし、買収が買収前の知識の状態で責任を凍結するものではないことを明確にしている。所有権は、継承された管理をテストし改善する義務をもたらす。

ゲストが管理できることは非常に限られていた。彼らは客室を予約し、ロイヤルティプログラムに参加し、パスポートと連絡先データを提供し、ホテルの運営に依存していた。事後的にカードを監視したり通知に応答したりすることはできた。スターウッドのデータベース監視を検査したり、特権認証情報をローテーションしたり、暗号化の声明を検証したり、システムの廃止を加速したりすることはできなかった。その非対称性が、これが説明責任の記録に属する理由である。

検証可能な統合に必要なもの

修復の教訓は「レガシーシステムを決して買収するな」ではない。買収の統合には証拠に基づくセキュリティの事実確認を含める必要があるということである。買い手は買収前に高リスクの継承システムを分類し、買収後すぐに検証を開始する必要がある。特権 ID のリセット、サービスプロバイダーアクセスのレビュー、エンドポイントとサーバーのハンティング、データベースエクスポートのロギング、制御カバレッジの比較、暗号化インベントリ、データ保持レビュー、バックアップマッピング、移行リスク評価などである。

予約データベースの場合、証拠はフィールドレベルおよびコピーレベルであるべきである。どのテーブルがパスポート番号を保持しているか?どのテーブルが支払いカードの残骸を保持しているか?どのテーブルが旅行同行者、子供、ロイヤルティ識別子、通信設定を保持しているか?どのフィールドがプレーンテキスト、暗号化、ハッシュ化、またはトークン化されているか?どのアプリケーションがそれらを要求できるか?どのユーザーがそれらをエクスポートできるか?どのログがテーブル全体のコピーを示しているか?どのバックアップがそれらを保存しているか?どの法的またはビジネス目的が保持を正当化するか?

サードパーティの信頼については、買い手はどのプロバイダーがシステムを管理しているか、彼らがどのアラートを受信するか、どのしきい値がエスカレーションを必要とするか、どのログを保持するか、どの認証情報を保持するか、下請け業者がどのように統治されているか、そして侵害の疑い後に管理者がどのように証拠を入手できるかを知るべきである。特定のシステムとデータカテゴリに関連付けることができない場合、ベンダーレポートだけでは不十分である。

通知については、組織はゲスト固有の説明を生成できるべきである。どのフィールド、どの期間、どのレコードソース、どの保護措置、どのような不確実性が残っているか、そしてどのような更新が続くか。最初は広範な通知が必要かもしれないが、カウント、フィールド、または暗号化の事実が変更された場合、後で修正が期待されるべきである。

廃止はリスク除去と同じではない

マリオットのスターウッド予約プラットフォーム廃止計画は、商業的および運用上重要だった。廃止は強力な制御になり得る。攻撃対象領域を減らし、より適切に管理されたプラットフォームへの移行を強制し、レガシー認証情報やツールへの依存を終わらせることができる。しかし、廃止は瞬時のリスク除去ではない。シャットダウンが予定されているシステムでも、予約を処理し、ホテルをサポートし、履歴記録を含む間は、依然として高い機密性を保つことができる。

マリオットが説明した2年間の移行は、移行期間を生み出した。その期間中、継承されたプラットフォームは依然として監視、強化、認証情報レビュー、エクスポートロギング、データ最小化を必要としていた。廃止日は、その日が来る前により弱い制御を正当化するものではない。場合によっては、逆のリスクを生み出す可能性がある。チームは廃止予定のシステムへの制御への投資を躊躇し、攻撃者は残された期間を利用する。

安全な廃止計画には、「ビジネス運用のためにシステムを使用するのをやめる」を超えたマイルストーンが必要である。バックアップ、レプリカ、エクスポート、フォレンジックイメージ、管理者アカウント、サービスアカウント、ベンダーアクセス、暗号化キー、ロギングストア、データフィード、ダウンストリームコピーを特定する必要がある。法的またはビジネス上の理由で保存しなければならないものと、削除または変換すべきものを決定する必要がある。廃止された認証情報がアーカイブにまだアクセスできないことを検証する必要がある。不必要なデータを露出させずに、訴訟や規制当局のレビューに必要な証拠を保存する必要がある。

スターウッドのケースは、これがなぜ重要かを示している。稼働中の予約データベースは2018年末までに廃止されたと報告されているが、侵害調査、規制措置、集団訴訟、州の和解、FTC 命令、暗号化修正は何年も続いた。システムは本番環境から離れることができ、説明責任の中心であり続ける。何が含まれていたか、誰がアクセスしたか、どのように保護されていたか、コピーがどのように処理されたかの記録は、その後のすべての手続きの証拠基盤となる。

廃止はゲストの権利とも相互作用する。ゲストがどのデータが関与したか尋ねた場合、その答えは古いプラットフォームとともに消えることはできない。規制当局がなぜフィールドが保持されたか、またはどのように保護されたかを尋ねた場合、組織は移行後の記録を必要とする。企業が後で暗号化の説明を修正する場合、修正を説明するために古いアプリケーションの動作と保存された値を十分に理解している必要がある。制御証拠の保存なしに廃止すると、後の事実確認が難しくなる可能性がある。

暗号化スチュワードシップは管理コントロールである

AES から SHA-1 への修正は、しばしば技術的な脚注として扱われる。しかし、それは管理コントロールのシグナルとしてよりよく理解される。暗号化は、組織が実際にどのような保護が適用されているかを知っている場合にのみ人々を保護する。その知識は、合併、ベンダー運用、レガシーアプリケーション、公的通知、訴訟を生き残らなければならない。

フィールドレベルの暗号化インベントリは、いくつかの質問に答えるべきである。どのフィールドが保護されているか?変換は可逆暗号化、一方向ハッシュ化、トークン化、マスキング、トランケーション、または別の方法か?どのアルゴリズムとモードが使用されているか?ソルトまたはキーは存在するか?キーまたはシークレットはどこに保存されているか?どのアプリケーションが元の値を要求できるか?どのログが使用を示しているか?どの古いバージョンが異なる方法を使用していたか?どの通知またはポリシーが保護を説明しているか?発表前に声明を認証する権限を持つのは誰か?

買収されたシステムでは、これらの回答は売り手の文書、コード、データベース設定、ベンダーノート、開発者の記憶、古いコンプライアンスレポートに散在している可能性がある。買い手は、テストされるまでラベルが間違っている可能性があると想定すべきである。「保護済み」では不十分である。「暗号化済み」では不十分である。トークンやハッシュで終わるフィールド名では不十分である。証拠には、保存された値、アプリケーションコール、キーサービス、リカバリパスの検査が必要である。

パスポート番号の認定は同じ点を強化する。問題は何百万ものパスポート番号が暗号化されていなかったことだけではなかった。マリオットがなぜ一部のパスポート番号が他のものと異なる扱いを受けたのかを説明する文書化されたリスク評価を欠いていたことである。選択的な保護は合理的であり得る。レガシーの制約、ビジネスニーズ、段階的移行を反映する可能性がある。しかし、それは文書化され、露出の結果と照らし合わせてレビューされなければならない。そうでなければ、不均一な保護はリスク決定ではなく偶然のように見える。

暗号化スチュワードシップは通知の質にも影響する。組織が人々にカードやパスポートの値が暗号化されたと伝えた場合、その人は値が SHA-1 でハッシュ化されたり暗号化されずに放置されたりした場合とは異なるリスクを合理的に推測する可能性がある。組織が後でその説明を変更する場合、修正は何が変わったか、どの値が影響を受けるか、悪用にとって何を意味するか、どのような不確実性が残っているかを述べるべきである。それは単なるコミュニケーションの衛生ではない。それは ID データの責任あるスチュワードシップの一部である。

買収のプレイブックは未知のものを名指しすべき

取引文化は自信を報いる。セキュリティ統合には未知のもののリストが必要である。買い手は、継承された環境のどの部分が検証されているか、どの部分が売り手によって表明されているか、どの部分が事業継続のために想定されているか、どの部分が未テストのままかを知るべきである。未知のものを許容されたリスクとしてラベル付けするリスクレジスターは、広範な保証の背後に未知のものを隠すデューデリジェンスメモよりも強力である。

グローバルな予約プラットフォームの場合、未知のものにはデータコピー、特権アカウント、サービスプロバイダーアクセス、外部向けシステム、古い侵害アーティファクト、サポートされていないソフトウェア、ロギングギャップ、暗号化ステータス、保持が含まれるべきである。それぞれの不明点に所有者と期日を設定する必要がある。一部は移行によって解決される。一部はシステムが稼働している間、補完的な制御を必要とする。買い手がデータ量を理解すると、一部は許容できなくなる可能性がある。

このアプローチは、買い手を誤った後知恵からも保護する。すべての事実が買収前に知ることができるわけではないことを認める。そして、不確実性を減らすための買収後の義務を生み出す。失敗は、初日にすべてを知ることができないことではない。失敗は、継承されたシステムがゲストデータを保持し続ける間、初日の不確実性を2年目の不確実性にすることを許すことである。

通知の質は統合の質に依存する

顧客通知は、しばしば法的期限の問題として扱われる。スターウッドのインシデントは、侵害が確認されるずっと前に通知の質が統合の質に依存することを示している。組織がどのテーブルがどのフィールドを保持しているか、重複がどのように人にマッピングされるか、何件のパスポート番号がプレーンテキストか、どの値が保護されているか、どのレコードがどの地域に属するかを知らなければ、通知は広範、遅延、修正、またはそのすべてになる。

最初のマリオット通知は、調査員がまだレコードと重複を分類していたため、慎重な上限を使用した。それは大規模な継承システムでは避けられないかもしれない。しかし、長期的な管理の教訓は、高リスクシステムにはゲストデータカタログがすでに存在すべきであるということである。それらはフィールドの目的、機密性、地域、保持、暗号化状態、アクセスロール、エクスポートパスを説明すべきである。それらはアプリケーションの文書だけでなく、実際のデータベースの内容と照合されるべきである。

これは規制当局にも影響する。通知のタイミングや適切性を評価する規制当局は、管理者が個人データが関与していることをいつ認識し、どの事実が合理的に利用可能であったかを知る必要がある。管理者自身の統合プロセスがアカウントテーブルとパスポートテーブルを区別できなかったり、重複レコードと一意のゲストを区別できなかったりすると、法的分析は技術的負債と絡み合う。統合の改善は、インシデントの混乱とその後の法的な不確実性の両方を減少させる。

同じ原則が公開修正にも適用される。マリオットの2024年の SHA-1 更新は、元の暗号化説明とは実質的に異なっていた。数年後の修正は、事実が知られた後の責任ある行動かもしれないが、元の証拠連鎖が十分に強力でなかったことも示している。買収後のセキュリティプログラムには、公開暗号化説明が通知前に技術所有者によって検証され、レガシー証拠が変更された場合に定期的に見直されるというルールを含めるべきである。

ホスピタリティにおけるクラウド依存

マニフェストは、このケースを部分的にクラウドサービス依存として分類している。予約プラットフォームは、現代的な意味でのパブリッククラウドではなかったが、グローバルなホスピタリティビジネスの共有インフラとして運用されていたからである。ホテル、コンタクトセンター、ロイヤルティサービス、管理サービスプロバイダー、コーポレートチームはすべて、中央プラットフォームの可用性と完全性に依存していた。そのプラットフォームは、多くの物件と管轄区域からのデータを集中させていた。

この依存性が、侵害が企業所有者だけでなく影響を与えた理由である。フランチャイズ、管理ホテル、ゲスト、支払いカードチーム、パスポート保持者、ロイヤルティ会員、規制当局、サービスプロバイダーはすべて、同じ継承されたシステムに関与していた。地元のホテルはデータベース監視を検査できなかった。ゲストはパスポートフィールドが暗号化されているかどうかを知ることができなかった。サービスプロバイダーはアラートをエスカレーションできたが、ゲスト通知とグローバル対応を調整できるのは管理者だけだった。

買収計画において、実用的な管理は依存関係マッピングである。レガシー予約プラットフォームが分離された場合、どのビジネス機能が停止するか?どのホテルがまだそれに依存しているか?移行中にどのデータフィードが続くか?どの第三者がアクセスできるか?どの顧客コミットメントがそれに依存しているか?技術コンポーネントのみをマッピングする買い手は、リスクの高いシステムを存続させ続けるビジネス圧力を見逃す。依存関係をマッピングする買い手は、移行が進む間の補完的制御を正当化できる。

最終的な評価は、高い影響と高い確信である。マリオットは、生きた侵害された予約プラットフォームを継承した。その事実は、マリオットを元の侵入者にしたり、買収前にすべての詳細を知ることができたことを証明したりするものではない。しかし、買収後の期間において、買収したシステムを管理し、ゲストデータを処理し、サードパーティの信頼を検証済みの制御に変えなければならなかったマリオットの説明責任を生じさせる。買収は一夜にしてブランドを買うことができる。確実性を買うことはできない。確実性は構築され、テストされ、示されなければならない。