まとめ
- Western Digital は、2023年3月26日にネットワークセキュリティインシデントを特定し、複数の社内システムへの不正アクセスがあったと発表した。調査中はシステムとサービスを公衆インターネットから遮断した。
- 同社はその後、不正な第三者が同社のオンラインストアで使用されるデータベースのコピーを取得したと発表した。このデータベースには、顧客名、請求先・配送先住所、メールアドレス、電話番号、ハッシュ化・ソルト化されたパスワード、暗号化形式のクレジットカード番号の一部が含まれていた。
- My Cloud ユーザーは、多くの消費者が個人的に管理するストレージとして扱っていたデバイスにとって重要なアクセスやアカウント機能をクラウドサービスが仲介していたため、サービスの中断を経験した。
- Western Digital は、インシデントの封じ込め、サービスの停止、復旧の順序付け、ストアデータベースのセキュリティ、顧客通知、製品とクラウドの設計を管理した。顧客は、ローカルバックアップの実施、ファームウェアの衛生管理、資格情報の変更、ストレージワークフローにおけるオフラインのフォールバックの有無を管理した。
- 公的な証拠は、デバイスがユーザーの自宅やオフィスにある場合でも、消費者向けストレージプラットフォームがクラウド説明責任の義務を生み出しうるという、高い確信度の結論を裏付けている。すべての My Cloud デバイスで一律にデータ損失が発生したことや、すべての製品ラインが同じ復旧経路を持つことを証明するものではない。
公式通知がストレージインシデントをクラウド依存のイベントに変えた
Western Digital の2023年4月2日の声明「Western Digital がネットワークセキュリティインシデントに関する情報を提供」では、3月26日に複数の社内システムへの不正アクセスを伴うネットワークセキュリティインシデントを特定したと述べている。同社はインシデント対応策を実施し、システムとサービスを公衆インターネットから遮断したと述べた。
この遮断は、全容をまだ把握していない企業にとって責任ある封じ込め措置であった。同時に、この瞬間にインシデントが一般ユーザーの目に見えるようになった。個人向けストレージの顧客は、ファイルへのアクセス、アカウント管理、モバイルアプリの使用時に Western Digital の内部ネットワークのことを考えないかもしれない。この停止はその依存関係を明らかにした。デバイスの体験に必要な一部のサービスは、純粋にローカルではなかった。
BleepingComputer の侵害後のシステム停止に関する報道「Western Digital、ネットワーク侵害後にシステムを停止」や The Register の報道「Western Digital、ハッカーがシステムに侵入したことを確認」は、My Cloud および関連サービスが影響を受けた公的な混乱を捉えた。これらの報道は同社の声明の一次情報源ではないが、ユーザー影響のタイムラインにおいて有用である。
説明責任の問題は、Western Digital がサービスを遮断したことではない。現在進行中の調査において、遮断は顧客を保護する可能性がある。問題は、顧客アクセス、デバイス管理、アカウントの信頼、ストア運営、インシデントコミュニケーションのすべてが、同社がその遮断と復旧をどのように実行したかに依存していたことである。
個人向けストレージは純粋に個人のインフラではなかった
Western Digital は、家庭、オフィス、スタジオ、小規模事業所に設置するストレージ製品を販売している。多くのユーザーは、完全に他者のクラウドに置くよりも、ファイルを自分の近くに置きたいためにこれらのデバイスを購入する。しかし、製品体験には、アカウントサービス、リモートアクセス、ファームウェアアップデートパス、モバイルアプリ、デバイス登録、サポートシステム、オンラインストアアカウントが含まれることがよくある。これによりハイブリッドな依存関係が生まれる。
「My Cloud Home サポート」を含む同社の My Cloud 製品サポートページは、製品カテゴリが単なる裸のディスクではなくエコシステムであることを示している。顧客は単にドライブを購入するのではない。サポート、アカウント、ソフトウェア、サービスモデルに入るのである。クラウドサービスが利用できない場合、ローカルデバイスにデータが残っていても、期待されるアクセスパスは機能しない可能性がある。
この区別は説明責任にとって重要である。顧客は、ローカルにあるということが運用上の独立性を意味すると信じるかもしれない。ベンダーは、実際の使いやすさがクラウドの ID、リレー、同期、モバイルアクセス、または復旧サービスに依存していることを知っているかもしれない。ベンダーの内部インシデントによりこれらのサービスが無効になると、顧客は最悪のタイミングで依存関係を知ることになる。
適切な設計上の対応は、クラウドサービスが決して故障しないと約束することではない。依存関係の境界を可視化することである。ユーザーは、どの機能がローカルで動作し、どの機能が Western Digital のクラウドサービス、WD アカウント、インターネット接続を必要とし、ベンダーの停止時にどのようなフォールバックモードが存在するかを知るべきである。明確な境界により、顧客は現実のリスクに合ったバックアップとアクセスプランを選択できる。
オンラインストアのデータベースがインシデントを拡大した
Western Digital の2023年5月5日の更新情報「Western Digital、ネットワークセキュリティインシデントに関する最新情報を提供」では、不正な第三者が同社のオンラインストアで使用される Western Digital のデータベースのコピーを取得したと述べた。同社によれば、このデータベースには顧客名、請求先・配送先住所、メールアドレス、電話番号、ハッシュ化・ソルト化されたパスワード、暗号化形式のクレジットカード番号の一部が含まれていた。
この開示により、インシデントはサービスの停止とネットワークの封じ込めから、顧客データの説明責任へと変わった。ストレージの顧客はファイルを失っていないかもしれないが、店舗情報が流出したために、フィッシング、パスワードの使い回し、請求書詐欺、サポート詐欺、またはアカウント乗っ取りの試みに直面する可能性がある。データの機密性は、完全なクレジットカード番号が含まれているかどうかだけで判断することはできない。
BleepingComputer の報道「Western Digital、3月のサイバー攻撃で顧客データが盗まれたことを確認」は、5月の更新情報と顧客データのカテゴリをカバーした。SecurityWeek の「Western Digital がネットワークセキュリティインシデントを開示」は、最初の開示と公共のセキュリティフレームをカバーした。これらの報道ソースは、公の物語を追跡するのに役立つが、中核となるデータカテゴリは Western Digital 自身の更新情報から来ている。
説明責任の問題は、顧客がその通知で何ができたかである。パスワードがハッシュ化・ソルト化されていても、ユーザーは使い回したパスワードを変更する必要があった。連絡先の詳細が流出した場合、ユーザーには詐欺やフィッシングへの認識が必要だった。クレジットカードデータの一部が暗号化されていたとしても、ユーザーは残留する支払いリスクを理解する必要があった。通知が強力であればあるほど、顧客が適切な対応を取りやすくなる。
ストアデータとデバイスデータは別々だが結びついた信頼面である
Western Digital の更新情報は、オンラインストアで使用されるデータベースに関するものだった。これは、すべての My Cloud デバイスに保存されているファイルが取得されたと言うことと同じではない。誇張は正確性を損なう可能性があるため、この区別は重要である。しかし、2つの信頼面は顧客の心の中でつながっている。ストレージデバイスを販売した同じブランドが、アカウントと購入データも保持していたからだ。
ストアデータは、デバイス所有者を標的にする方法で悪用される可能性がある。顧客がストレージハードウェアを購入し、配送先住所、メールアドレス、電話番号、注文の断片的な文脈を知っている犯罪者は、説得力のあるサポート詐欺を作り上げることができる。彼らは Western Digital になりすまし、偽のファームウェアアップデートを送り、ユーザーにアカウントの資格情報を提供するよう圧力をかけ、あるいは停止に関する懸念を悪用するかもしれない。
これが、低〜中程度の機密性データが依然として高い実務上のリスクを生み出す理由である。氏名や連絡先の詳細は、医療記録や完全なクレジットカード番号と同じ意味での秘密ではない。しかし、製品の文脈と進行中のセキュリティインシデントと組み合わさることで、それらは標的化の材料となる。アクセスを失ったことを心配する顧客は、偽の復旧リンクをクリックする可能性が高くなる。
したがって、責任ある対応には、フィッシング対策ガイダンス、資格情報に関するアドバイス、明確なコミュニケーションチャネルが含まれる。顧客は、公式の更新情報がどこに表示されるか、Western Digital が何を要求しないか、パスワードを安全にリセットする方法、サポートメッセージを確認する方法を知る必要がある。沈黙は、攻撃者がサポートを模倣する余地を生み出す。
復旧は可用性と信頼の両方に応える必要があった
企業がインシデント中にサービスを遮断する場合、復旧は単に技術的な稼働時間の目標ではない。それは信頼の決定である。Western Digital は、公開向けシステムをいつ復帰させるか、どのサービスを最初に復帰させるか、封じ込めを示す証拠は何か、機密性の高い調査詳細を公開せずに顧客に情報を提供し続ける方法を決定しなければならなかった。
オンラインストアには1つの復旧パスがあった。My Cloud サービスには別のパスがあった。サポートチャネル、製品セキュリティページ、アカウントサービスにはそれぞれ独自の依存関係があった。Western Digital の製品セキュリティページは、顧客が脆弱性やセキュリティ情報を得るために必要な永続的な場所の一種であるが、インシデントには、技術的でないユーザーが理解できる平易な運用上の更新情報も必要である。
BleepingComputer の My Cloud サービス復旧に関する報道「Western Digital My Cloud が10日間の停止後に復旧」は、サービスの可用性と顧客の信頼の間のギャップを示している。サービスがオンラインに戻ったからといって、ローカルデータが安全かどうか、アカウントにパスワード変更が必要かどうか、アプリトークンがまだ有効かどうか、ストアデータが流出したかどうかが自動的にユーザーに伝わるわけではない。
説明責任のある復旧記録は、サービスの到達可能性、アカウントのセキュリティ、データの流出、資格情報の対応、顧客通知、製品の更新、長期的な設計変更というレイヤーを定義すべきである。ユーザーが再びログインできても、どのリスクが残っているかわからない場合、復旧は不完全である。
ローカルフォールバックは製品設計の問題である
自宅やオフィスに設置されるストレージ製品には、明確に文書化されたローカルアクセスの方法があるべきである。ベンダーの停止時に、ユーザーはローカルネットワークからファイルにアクセスできるか?クラウドアカウントなしでデバイスを管理できるか?データをエクスポートまたはバックアップできるか?ファームウェアを安全に更新できるか?ベンダーの停止とローカルデバイスの問題を区別できるか?
これらの質問は製品設計の説明責任であり、単なるユーザー教育ではない。技術に熟練したユーザーはローカルな回避策を見つけるかもしれない。一般家庭、写真家、非営利団体、中小企業は、モバイルアプリとクラウド ID パスに依存しているかもしれない。フォールバックが存在しても、ストレス下で発見可能でなければ、実質的な継続性として機能しないかもしれない。
設計基準は製品の約束に比例すべきである。製品が個人向けストレージとして販売されている場合、ユーザーは、ベンダーのクラウドシステムがダウンしたときに何が自分の管理下に残るかについて、平易な説明を受けるべきである。製品がクラウド対応ストレージとして販売されている場合、クラウド依存性は明示的であるべきである。どちらのモデルも正当でありうる。混乱こそがリスクである。
これは特に小規模オフィスやクリエイターにとって重要である。写真家、地元企業、学校のグループは、実用的なアーカイブやコラボレーションツールとして My Cloud デバイスを使用するかもしれない。リモートアクセスを数日間失うと、データがドライブに残っていても作業が中断される可能性がある。理論上だけ存在するバックアップ計画は、締め切り中には役に立たない。
顧客の責任も依然として重要だった
Western Digital は、企業ネットワークのインシデント対応とサービスエコシステムを管理していた。顧客にも責任はあった。重要なデータのコピーを1つだけ、接続された1つのデバイスに保管しているユーザーは、デバイスの故障、アカウントのロックアウト、ランサムウェア、偶発的な削除、ベンダーの停止に対して脆弱である。個人向けストレージだからといって、バックアップの必要性がなくなるわけではない。
CISA の「StopRansomware ガイド」は、バックアップ、復旧計画、ID 衛生を強調している。このガイドは Western Digital に固有のものではないが、その運用原則は適用される。ユーザーと小規模組織は、可能であれば複数のコピー、オフラインまたは不変のバックアップ、パスワード衛生、利用可能な場合は多要素認証、テスト済みの復旧手順を必要とする。
公正な配分は次の通りである:顧客は、かけがえのないファイルに対してベンダーが管理する1つのパスで十分だと考えてはならず、一方ベンダーはローカルストレージの表現の背後にクラウド依存性を隠してはならない。ユーザーはバックアップの決定を所有する。ベンダーは明確さ、セキュリティ、サービスの回復力、通知を所有する。
資格情報の対応も共有される。Western Digital がハッシュ化・ソルト化されたパスワードの流出を開示したことで、特に資格情報を使い回していた場合、パスワード変更は依然として賢明であった。顧客は使い回したパスワードをローテーションし、フィッシングに注意する必要があった。Western Digital は、公式のリセットパスを明確かつ安全にする必要があった。
データ最小化が下流のリスクを低減したであろう
オンラインストアは注文を処理しサポートするために一部の顧客データを必要とする。すべてのデータ要素を永遠に必要とするわけではない。データ最小化は、ストアが必要なものだけを保持し、強力に保護し、侵害により大規模な顧客データセットが流出する可能性のあるシステムから分離していたかどうかを問う。
公の通知では、氏名、住所、メールアドレス、電話番号、ハッシュ化・ソルト化されたパスワード、暗号化されたクレジットカードデータの一部が記載されていた。この記事は Western Digital が不要なフィールドを保持していたと主張するものではない。このインシデントが保持とセグメンテーションが重要である理由を示していると言っている。ストアが1つの到達可能なデータベースに保持する過去の注文データが多ければ多いほど、インシデントは詐欺師にとってより有用になる。
FTC の「データ侵害対応ガイド」は、通知と顧客保護を実用的な観点から枠組みしているため、ここで有用である。企業はどのデータが影響を受けたか、誰に通知すべきか、顧客がどのような措置を取れるか、さらなる被害をどのように減らすかを知っているべきである。サポートエコシステムを伴う製品企業にとって、それには製品所有に関連する詐欺やなりすましのリスクが含まれる。
データ最小化は復旧にも影響する。より小さく、セグメント化され、よく目録化されたデータセットは、範囲を特定するのが容易である。長期保持と多数の統合を持つ広大なストアデータベースは困難である。企業が正確な境界を迅速に説明できる場合、顧客は利益を得る。
クラウドサービス依存はリスクラベルに含まれるべきである
Western Digital のインシデントは、より大きなパターンの一部である:ローカルに感じられるデバイスが、しばしばクラウドサービスに依存している。カメラ、ルーター、ストレージボックス、プリンター、ドアロック、サーモスタット、オフィス機器はすべて、アカウント、API、中継サービス、証明書、アップデートチャネル、モバイルアプリのバックエンドに依存している可能性がある。ベンダーがインシデントを起こすと、顧客の自宅やオフィスにあるデバイスが期待される動作を失う可能性がある。
CISA の「Secure Cloud Business Applications プロジェクト」はクラウドサービス向けに書かれているが、ハイブリッドデバイスに関連する制御ロジックを指摘している:ID、構成、ログ記録、テナントデータには構造化されたガバナンスが必要である。消費者向けデバイスエコシステムは、デバイスが物理的であるというだけの理由で免除されるべきではない。
したがって、リスクラベルは購入時とドキュメンテーションにおいて明確であるべきである。どの機能がローカルか?どれがクラウドを介しているか?ベンダーのアカウントサービスがダウンしたらどうなるか?ベンダーはどのようなデータを保存しているか?どれだけ保持されるか?どのようなログが存在するか?インシデント中に権威あるサポートチャネルはどれか?依存関係が見えなければ、顧客は情報に基づいたリスク選択を行うことができない。
小規模事業者にとって、同じラベルは調達の証拠となる。ネットワークストレージを購入する企業は、リモートアクセスがベンダーのクラウドに依存するかどうか、停止時にローカル管理が可能かどうか、マルチユーザーアクセスが外部の ID サービスに結びついているかどうか、ログがインシデント調査をサポートできるかどうかを知るべきである。これらは企業だけの問題ではない。
製品セキュリティページは必要だが十分ではない
Western Digital は製品セキュリティ情報を維持しており、これは重要である。永続的なセキュリティページは、ユーザーと管理者がアドバイザリ、報告チャネル、製品セキュリティアップデートを見つけるのに役立つ。しかし、クラウドサービスと顧客データに影響を与える企業ネットワークインシデント中には、コミュニケーションの必要性は広がる。
ユーザーはステータス記録を必要とする。どのサービスがダウンしているか?どれが部分的に復旧したか?どの製品ファミリーが影響を受けているか?どの機能がローカルで動作するか?どの資格情報を変更すべきか?どのサポートメッセージが正当か?どの顧客データが流出したか?今推奨される措置は何か、後でどのような措置が取られるか?
セキュリティチームは、技術的でないユーザーにとってインシデントがどれほど混乱を招くかを過小評価しがちである。顧客は、自宅で点滅するドライブ、接続しないアプリ、オンラインストアのパスワード警告、盗まれたデータに関するメディア報道を抱えているかもしれない。情報源の明確な真実がなければ、顧客は製品の停止、アカウントのリスク、ローカルデバイスの故障、詐欺メッセージを区別できない。
ここで、製品企業はイベント前に平易な言葉のインシデントセンターを準備すべきである。そのページは回復力があり、必要であれば外部でホストされ、見つけやすいものでなければならない。サービスのステータス、顧客データの通知、ローカルアクセスガイダンス、セキュリティ推奨事項を分離すべきである。目標は、フォレンジックの詳細を共有しすぎることではない。ユーザーが推測するのを防ぐことである。
インシデント対応はサービスマップを保持すべきである
NIST の「サイバーセキュリティフレームワーク」は、特定、保護、検知、対応、復旧を分けている。Western Digital のインシデントは、最初の機能が復旧中にも重要であることを示している。企業は、どの顧客機能がどの内部システム、データベース、認証サービス、クラウドルート、サポートチャネル、製品アップデートパスに依存しているかを知らなければ、責任を持ってサービスを復旧することはできない。
ハイブリッドストレージエコシステムの場合、サービスマップは製品機能をバックエンドサービスに接続する必要がある。リモートファイルアクセスは ID およびリレーシステムに依存する可能性がある。モバイルアプリはアカウント API に依存する。デバイスセットアップは登録に依存する。サポートは顧客データベースに依存する可能性がある。オンラインストアの復旧は支払いおよび注文システムに依存する可能性がある。ファームウェアアップデートはコード署名および配布チャネルに依存する可能性がある。インシデントが企業システムに及ぶ場合、企業はこれらの顧客向け機能のどれが影響を受ける可能性があるかを知る必要がある。
NIST のインシデント対応ガイダンス「SP 800-61 改訂2」も、対応を準備、検知と分析、封じ込め、根絶と復旧、インシデント後活動として枠組みしている。このライフサイクルは、Western Digital のイベントが複数の復旧判断を必要としたために有用である。同社は不正アクセスを封じ込め、範囲を調査し、サービスを復旧させ、データ流出について顧客に通知し、停止から学ぶ必要があった。
サービスマップは緊急事態を生き残るべきである。対応チームがシステムがすでに遮断されている間に依存関係の知識を構築しなければならない場合、復旧は遅れ、コミュニケーションは弱まる。顧客は散発的な症状を見る:アプリが故障し、ストアが利用できず、サポートページが不明瞭で、パスワードリセットメールが後で届く。企業は内部的に真剣な作業を行っているかもしれないが、ユーザーは不確実性を経験する。
説明責任のある運用モデルは、インシデント前に依存マップを知り、コミュニケーション中にそれを使用することである。ステータスページは、どのサービスが利用不能か、どのローカル機能が残っているか、どのアカウントアクションが安全か、どの顧客通知が製品アクセスと別かを示すことができる。その分離により、1つのインシデントが区別できない恐怖の雲になるのを防ぐ。
セキュア・バイ・デザインには graceful degradation を含めるべきである
CISA の「Secure by Design」イニシアチブは通常、エンタープライズソフトウェアの観点から議論されるが、消費者および小規模ビジネスのストレージエコシステムにも同じ規律が必要である。安全な製品とは、侵入に抵抗するものだけではない。顧客が理解し、生き残れる方法で故障するものである。graceful degradation はセキュリティの一部である。混乱したユーザーは危険な判断をするからだ。
My Cloud スタイルの製品にとって、graceful degradation は、明確なローカルアクセス手順、オフラインバックアップガイダンス、アカウントリセットの安全性、サポートメッセージの検証、ベンダーの停止とローカルデバイスの侵害を区別する製品動作を意味する。製品は、ドライブが故障したのか、クラウドサービスがダウンしたのか、アカウントが盗まれたのか、ファイルがなくなったのかをユーザーが推測するままにしてはならない。
graceful degradation は、機能間の爆発範囲を制限することも意味する。オンラインストアデータの侵害が、ユーザーがデフォルトですべてのローカルファイルを信頼できなくなることを要求すべきではない。クラウドサービスの停止が、証拠が示さない限り、ストアアカウントの流出を意味するべきではない。製品のアップデート問題が、顧客データの流出と混同されるべきではない。アーキテクチャの分離は、コミュニケーションの分離と一致すべきである。
ベンダーはこれを設計できる。セットアップ時に、停止後のサポート記事だけでなく、オフラインモードを文書化できる。一般ユーザーが見つけられるローカルネットワークアクセス手順を提供できる。アプリに一般的なエラーではなく、サービスのステータスメッセージを表示させることができる。可能な限り製品アカウントのパスワードをストアの資格情報から分離し、その違いを説明できる。公式のインシデントページを簡単に検証できるようにすることができる。
これは表面的なことではない。セキュリティインシデント中、攻撃者は曖昧さを悪用する。ユーザーが、メールが公式かどうか、リセットが必要かどうか、ローカルデバイスが安全かどうか混乱している場合、詐欺は容易になる。したがって、ハイブリッドハードウェアのセキュア・バイ・デザインには、混乱防止設計を含めるべきである。
報道ソースが実際の停止体験を露呈した
Ars Technica の報道「Western Digital、ネットワークセキュリティインシデント後にオンラインサービスを停止」は、My Cloud 機能が利用できなくなったことに対するサービスの停止とユーザーの不満を描写した。このような報道の技術的な詳細はフォレンジックな事後分析に比べて限られているかもしれないが、重要な説明責任のシグナルを捉えている:インシデントがファイルにアクセスしようとしているユーザーにどのように感じられたか。
その実際の停止体験が重要なのは、クラウド依存のリスクは壊れるまで見えにくいからである。ユーザーはストレージハードウェアを購入し、棚に置き、それをローカルインフラとして考えるかもしれない。その後、モバイルアプリ、リモート共有、またはアカウント機能をそれらのサービスが停止するまで使用するかもしれない。停止は製品アーキテクチャを失敗を通して教える。
公の報道は、コミュニケーションのギャップがどこに現れるかも示している。顧客やジャーナリストが、どの機能がダウンしているか、ローカルアクセスが機能するか、復旧がいつ期待されるかを推測しなければならない場合、製品のインシデントコミュニケーション層は薄すぎる。強力なインシデントセンターは、既知の事実、影響を受けるサービス、顧客アクション、未解決の質問を分離することで、憶測を減らすだろう。
企業はそのために機密性の高いフォレンジック情報を開示する必要はない。どの製品ファミリーでリモートアクセスが中断されているか、特定の構成ではローカルネットワークアクセスが可能なままかどうか、どの顧客データ通知がストアデータベースに適用されるか、ユーザーが公式のサポートコミュニケーションをどのように検証すべきかを述べることができる。それは実用的な情報であり、攻撃者を可能にすることではない。
ストレージへの信頼を販売するブランドにとって、コミュニケーション体験は製品の一部である。ファイルは感情的にも運用的にも重要である。それらは家族のアーカイブ、創作活動、税務記録、医療文書、クライアントへの成果物、または小規模ビジネスのデータかもしれない。アクセスが失敗したとき、ユーザーは調査が進行中であるという企業声明以上のものを必要とする。
サポートと小売のエコシステムが詐欺の表面になる
顧客連絡先情報を含む公のインシデントの後、攻撃者はサポートを偽装することができる。偽のファームウェアアップデートに関するメールを送信し、ユーザーの My Cloud デバイスを再認証しなければならないと主張し、偽のデータ復旧サービスを提供し、またはストアアカウントの資格情報を尋ねることができる。製品所有、連絡先の詳細、停止の不安の組み合わせは、信じやすいソーシャルエンジニアリングのセットアップを作り出す。
これが、顧客通知にチャネル規律を含めるべき理由である。Western Digital の顧客は、公式の更新情報がどこに投稿されるか、パスワードリセットがどのように発生するか、サポートが決して要求しない情報は何か、不審なメッセージの報告方法を知る必要があった。接続されたデバイスを販売する企業は、基盤となるデータに完全なクレジットカード情報が含まれていない場合でも、公のインシデントがなりすましキャンペーンを引き起こすと想定すべきである。
小売および再販チャネルも重要である。顧客は Western Digital のオンラインストア、小売パートナー、マーケットプレイス、再販業者を通じてドライブを購入したかもしれない。異なる購入経路は異なるアカウント記録とサポート期待を生み出す。不審なメールを受け取った顧客は、どのチャネルを使用したか覚えていないかもしれない。明確な公式ガイダンスはその混乱を考慮すべきである。
同じ問題は保証とデバイス識別子にも当てはまる。攻撃者が製品所有を知っているか、注文データから推測できる場合、保証の文言、シリアル番号の主張、またはサポートケースの参照を使用して正当に聞こえるようにする可能性がある。正確なシリアル番号がなくても、製品特有の言語は詐欺の変換率を高める可能性がある。これが、製品企業の侵害後に「連絡先情報のみ」が無害なカテゴリではない理由である。
したがって、データ最小化とコミュニケーションが出会う。最小化は詐欺師が利用できる原材料を減らす。コミュニケーションは、流出したデータが成功した詐欺につながる可能性を減らす。危害はしばしばデータベースがコピーされた瞬間だけでなく、侵害後に発生するため、どちらも説明責任の一部である。
復旧はインシデント後の設計変更を生み出すべきである
インシデント後の最も重要な証拠は、サービスが復旧したかどうかだけではない。何が変わったかである。Western Digital は、企業ネットワークと顧客向けサービスの間のセグメンテーションを変更したか?ストアデータの保持を変更したか?認証、ログ記録、バックアップ、監視を調整したか?ローカルアクセスの文書化を改善したか?サービスの依存関係をユーザーにとってより明確にしたか?インシデント更新チャネルを強化したか?
一般にはすべての詳細が提供されないかもしれないし、一部のセキュリティ改善は機密のままであるべきである。しかし、顧客は方向性のある学習を見ることができるに値する。企業は、機密性の高い図を公開することなく、セグメンテーションを改善し、アクセス制御を強化し、顧客通知プロセスを改訂し、監視を拡大し、ローカルフォールバックを明確化したと述べることができる。メッセージは、評判管理と読まれるほど漠然としているのではなく、組織的な学習を示すのに十分具体的であるべきである。
インシデント後の設計変更は、製品サイクルが何年も続くため、接続されたハードウェアにとって特に重要である。ユーザーは毎月ストレージデバイスを交換するわけではない。設計またはコミュニケーションの弱点は、ニュースサイクルが終わった後も長く導入基盤に残りうる。ファームウェア、サポート文書、アプリ、アカウントシステム、クラウドサービスは、教訓を前進させる必要がある。
顧客も変わる必要がある。このインシデントは、家庭ユーザーや小規模組織に、ローカルアクセスをテストし、独立したバックアップを保持し、パスワードの使い回しを避け、アカウント復旧を文書化し、どのファイルがオフラインコピーに値するかを決定するよう促すべきである。ベンダーのインシデントは、ユーザー自身の継続性計画が薄いことを明らかにする可能性がある。それはベンダーを免除するものではないが、ユーザーに将来の被害を減らす機会を与える。
Western Digital のインシデントからの最善の成果は、より明確な社会的契約であろう:ベンダーはクラウド依存性と復旧証拠について明示的であり、顧客はバックアップと資格情報の衛生について現実的である。その契約がなければ、ローカルハードウェアは完全な独立性と誤解され続けるだろう。
ローカリティは主権の誤った感覚になりうる
このインシデントは、物理的な所有が誤った制御感を生み出す可能性があるため、データ主権の分析にも属する。ユーザーはドライブが正確にどこにあるかを知っているかもしれない。プラグを抜くことさえできるかもしれない。しかし、ストレージ体験にアクセスし、管理し、更新し、共有し、復旧する実質的な権限は、依然として自宅やオフィスの外のサービスに依存している可能性がある。ローカリティは現実であり、主権は部分的である。
この区別は製品ドキュメンテーションで明示的であるべきである。顧客がベンダーのクラウドサービスなしでローカルにファイルにアクセスできる場合、それを明確に述べ、その方法を説明する。リモートアクセス、モバイルアクセス、アカウント復旧、デバイスのリンク、またはサポートワークフローが Western Digital のインフラストラクチャを必要とする場合、それも述べる。顧客はそれを理解したときにハイブリッドモデルを受け入れることができる。停止中にのみ現れるリスクを管理することはできない。
ビジネスにとって、ローカリティはコンプライアンスの混乱も生み出す可能性がある。小規模企業は、ストレージボックスがローカルにあるため、クライアントファイルは「オンプレミス」にあると信じるかもしれないが、アカウントメタデータ、アクセス資格情報、サポート記録、または製品テレメトリはベンダーサービスを通じて処理されるかもしれない。Western Digital のインシデントは、データガバナンスが保存されたファイルと周辺のサービス層の両方をカバーする必要があることを思い出させる。
家庭にとって、この問題は技術的であると同時に感情的でもある。家族の写真、創作プロジェクト、個人アーカイブは、近くにあるとより安全に感じられる。クラウドの停止は、物体が物理的に存在するが通常のパスでは実質的に到達できないため、裏切りの感覚を生み出す。より良い製品言語はその不一致を減らすだろう。それはこう言うだろう:あなたのデータはローカルかもしれませんが、これらの機能はクラウドサービスに依存しており、これらのサービスが利用できないときに何をすべきかをここに示します。
その明確さはインシデント対応も改善するだろう。ユーザーがインシデント前にローカル/クラウドの境界を理解していれば、アプリが故障したときにファイルがなくなったと思い込む可能性は低い。詐欺的な復旧メッセージをクリックする可能性は低い。独立したバックアップを持っている可能性が高い。製品をスタンドアロンのアプライアンスではなく、ハイブリッドな依存関係として評価する可能性が高い。
したがって、説明責任の教訓は反クラウドでも反ローカルハードウェアでもない。反曖昧性である。クラウド対応ストレージは有用であり、ローカルストレージは回復力がありうる。リスクは、顧客があるモデルを購入したと考えている間に、インシデントが別のモデルを明らかにするときに現れる。
その曖昧性は、将来の購入者にとってチェックリストの項目になるべきである。家庭は、写真がローカルネットワークで到達可能なままかどうかを尋ねることができる。スタジオは、リモートの共同作業者がベンダーのクラウドを必要とするかどうかを尋ねることができる。小規模ビジネスは、データをエクスポートし、アカウントをローテーションし、ベンダーのダウンタイム中に作業を続ける方法を尋ねることができる。これらの質問は、製品マーケティングを、侵害が答えを強制する前の運用計画に変える。
それらはまた、サポートの期待をより公正にする。境界を文書化したベンダーはそれに対して判断され、境界を理解した購入者はどのファイルが追加のオフラインコピーに値するかを決定できる。
これは今や抽象的なアーキテクチャの議論ではなく、実践的な説明責任である。
また、危機時にカスタマーサポートに、よりクリーンなスクリプトを提供する。すべての症状がゼロから調査される間ユーザーに待つよう求める代わりに、サポートチームは依存関係によってそれらをルーティングできる:ローカルネットワークアクセス、クラウドログイン、ストアアカウント、支払い記録、ファームウェアアップデート、またはバックアップ復旧。そのルーティングはパニックを減らし、ユーザーがなりすまし者からの助けを受け入れる可能性を減らす。
同じルーティングはコミュニケーションチームにも役立つ。単一の混合した発表は、すべての顧客にすべてのリスクがすべての製品に適用されると考えさせる可能性がある。依存関係に基づく更新は、ローカルデバイスアクセス、リモートクラウドアクセス、オンラインストア記録、サポート資格情報、ファームウェア配布が別々の証拠を持つ別々の面であることを伝えることができる。その種の精度は、インシデントを最小化することなく恐怖を低下させる。
評価を変える証拠は何か
Western Digital が、企業システム、ストアデータベース、My Cloud サービス、サポートシステム、製品アップデートチャネルの間の強力なセグメンテーション、迅速な封じ込め、限定的なデータ流出、効果的な顧客通知、明確な復旧証拠を示すことができれば、評価はより軽くなるだろう。公的な声明はその図の一部を提供しているが、完全な技術的事後分析ではない。
後の証拠が、不必要な顧客データの広範な保持、弱いセグメンテーション、販売されたストレージユースケースに対する不十分なローカルフォールバック、遅れた通知、または不明確な顧客ガイダンスを示した場合、評価はより厳しくなる。また、顧客がローカルデータ、クラウドアカウントデータ、ストアデータが別々のリスク面であるかどうかを判断できないままだった場合、より厳しくなる。
顧客にとって、独立したバックアップを維持し、一意のパスワードを使用し、ローカルアクセスを理解し、ベンダークラウドの停止をより広範な復旧計画の1つのシナリオとして扱っていた場合、評価は改善される。かけがえのないファイルが1つのデバイス、1つのアカウント、1つのベンダーサービスパスに依存していた場合、悪化する。
現在の公的な証拠は、バランスの取れた結論を支持する。Western Digital は社内システムへの不正アクセスを経験し、調査中にサービスを遮断し、後にオンラインストアデータベースの流出を確認し、時間をかけてサービスを復旧した。より深い説明責任の教訓は、個人向けストレージ製品は、ハードウェアがローカルにあってもクラウドの義務を負う可能性があるということである。
説明責任のテスト
Western Digital のインシデントは、7つのコントロールを通して判断されるべきである。
第一に、封じ込め:同社は、無関係な顧客サービスへの停止の影響を不必要に拡大することなく、影響を受けたシステムを迅速に隔離したか?
第二に、セグメンテーション:企業システム、オンラインストアデータ、サポートシステム、My Cloud サービスインフラ、製品アップデートパスは、爆発範囲を制限するのに十分な強さで分離されていたか?
第三に、ローカルフォールバック:My Cloud ユーザーは、ベンダーのクラウド停止中にローカルデータにアクセスして保護できたか、そのフォールバックは一般ユーザーに明確だったか?
第四に、顧客データ:Western Digital は影響を受けたストアデータを正確に特定し、有益なアクションステップを添えて顧客に通知し、開示後のフィッシングとなりすましのリスクを低減したか?
第五に、復旧証拠:サービスの復帰は、到達可能性のみを意味したのか、それともアカウントのセキュリティ、データ境界の信頼、サポートチャネルの準備も反映したのか?
第六に、製品の透明性:製品資料とサポート文書は、インシデント前にクラウド依存性、ローカルモード、アップデートパス、アカウント要件を可視化していたか?
第七に、顧客のレジリエンス:ユーザーと小規模組織は、保存データの重要性に比例した、独立したバックアップ、一意の資格情報、復旧計画を維持していたか?
最終的な結論は単純明快である。Western Digital のインシデントは、個人向けおよび小規模オフィス向けストレージがクラウド説明責任システムになりうることを示した。ドライブは机の下にあっても、製品体験は依然としてベンダーの ID、リモートアクセス、ストアデータベース、サポートチャネル、復旧判断に依存しうる。Western Digital は、封じ込め、サービスの復旧、データ通知、製品クラウドの明確さ、長期的なセキュリティ改善を所有した。顧客はバックアップと資格情報の衛生を所有した。永続的な教訓は、サービス層が危機時にハードウェアが到達可能で、信頼でき、理解可能であり続けるかどうかを決定するとき、ローカルハードウェアはクラウドリスクを排除しないということである。
タイポグラフィ
タイポグラフィは、読みやすく、判読しやすく、視覚的に魅力的な文章を作るために、文字を配置する芸術および技術である。書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。
- タイポグラフィは、15世紀のヨハネス・グーテンベルクによる活版印刷の発明に端を発する。
- 主要な要素には、フォントの選択、カーニング、トラッキング、リーディングが含まれる。
- 優れたタイポグラフィは、読みやすさを高め、デザインにおける気分やトーンを伝える。

