Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アップルの鉄のカーテンは穴だらけ

スティーブ・ジョブズの時代とは違い、アップルの情報統制はかなり苦戦している様です。japanese.engadget.com

アップルの新製品はその注目度の高さもあってか、正式発表前にリーク(情報漏えい)されることが恒例となっています。

先日発表されたiPhone 13シリーズに関してもProモデルに120Hz画面が採用されることや、動画撮影に背景ぼかし機能が付く(シネマティックモード)ことまでも、1ヶ月以上前から丸裸にされていました。


こうした事態に対し、ティム・クックCEOがリーク情報や原因となる社員の取締りを強化するとの社内メモを全社員に送ったことが、またもやリークされたと報じられています。

 

キタきつねの所感

新型iPhone 13シリーズなどの新製品発表会は、新型iPad mini(第6世代)等の一部の例外を除いて、事前にリークされていた情報とほとんど同じ内容だったため、新鮮味に薄れると評価する人が私の周りでは多数派でした。

 

カリスマ創業者であったスティーブ・ジョブズ氏の頃とは違うと言えばそれまでですが、One More Thing....と「期待を裏切られる」事による盛り上がりを感じる事は、今や難しいのかも知れません。

 

参考:スティーブ・ジョブズの「One more thing(ワン・モア・シング)…」をまとめた動画 | アーリーテックス

 

現CEOであるティム・クック氏も当然の事ながら、情報リークには厳しい態度で臨んでいる様です。しかし、その「答え合わせ」を見る限り、その運用に関しては落第点と言えるかも知れません。

 

こうしたアップルの鉄のカーテン』の劣化は、誤解を恐れずに言えば、昨今バズワード化している「NIST CSF」へのシフトが遅れている事が原因の一旦なのかと思います。

 

アップルの従業員は2020年末の時点で約14.7万人とされ、年々増加しています。スティーブ・ジョブズがこの世を去ったのは2011年ですが、当時の社員数は約6万人と2020年の半分以下です。

サプライチェーンに関しては参考になるデータが手元にありませんが、2013年から2019年にかけて売上高が約1.6倍になっていますので、グローバルで関連するサプライチェーンも増加しているのも間違いないかと思います。

 

参考:アップルの売上高と純利益の推移のグラフ | グラフストック

 

従業員やサプライチェーン企業の中でも新製品情報を知るべき立場にある人(1次情報入手者)はグッと絞られると思いますが、情報統制が”成功していた”スティーブ・ジョブズ時代に比べて、守るべき(監視すべき)対象が(単純試算ですが)1.5倍~2倍に拡大している事を加味すると、アップルは根本的に情報の守り方を変える時期に来ていると考えられます。

 

当然の事ながらスティーブ・ジョブズの時代から、アップルは情報管理対策に相当力を入れていたと思います。その(世界最高峰と想像される)情報管理対策であっても、内部漏えいが発生している事を考えると、私はアップルがNIST CSF(サイバーセキュリティフレームワーク)へのシフトに課題を抱えている様に思います。

 

CSFは、ご存じの方も多いかと思いますが、識別(Identify)・防御(Protect)・検知(Detect)・対応(Respond)・復旧(Recover)といった5つのフレームコアでセキュリティリスクを管理する考え方ですが、従来の防御(境界防御)一辺倒の考え方ではなく、防御が破られて内部に侵入された後(検知・対応・復旧)の対策にもウェイトを置く事が推奨されています。

勿論、アップルがこうしたCSFの考え方を導入する必要性はないのですが、現在の対策に問題がある事を考えると、CSFやゼロトラストの考え方を参考に情報統制対策を強化する事が有効な気がします。

 

(以下既に多くはアップルが実施しているのだろうとは思いますが・・・)

サプライヤーから情報が漏えいするケースでは、製造ベンダーから情報が洩れるのは当たり前だと考えて、製造現場へのカメラ機能を持つ電子機器の持ち込みを禁止した上で、従業員の行動をカメラ監視したり、私物ロッカー設置をベンダー側のセキュリティ要件として加えたりする事も考えられるかと思います。

 

従業員(サプライチェーン)から機微な情報が漏えいする事を「前提」に考えるならば、例えば偽情報(≒おとり情報)を一定の従業員だけに”流す”事も考えられます。

※プロトタイプ名を少しだけ変更するという考え方もあるかと思います(例:iPhone13 「Max2」といったダミー情報を使う)

 

サプライヤーとのNDA(損害賠償)だけでは漏えい対策に限界があると想定するならば、漏えい情報を流したメディア(系列)にはアップルの広告を一切出さないとし、以後の取材も断る・・・といった事後対策も検討の余地があるかも知れません。

 

少し先の話かも知れませんが、設計情報などの電子データがNTF対応となり、情報漏えいのトレースが出来る様になるかも知れません。

突然話題になったデジタル資産「NFT」とは何か--暗号資産との違いや注意点は - CNET Japan

 

多面的、多層的なセキュリティ対策が重要となってくる。

 

情報統制が評価されていたアップルですら現在課題を抱えている訳ですから、日本企業・組織も、そろそろ防御一辺倒の考え方を変える事を検討する必要があるのではないでしょうか。

 

余談です。今回の件と直接関係がある訳ではありませんが、内部不正において従業員の「不満」というのも原因となるケースが多いと言われています。アップルは米国においては、9月からの出社となっている様ですが、こうした不満がリークに繋がった、そんな可能性もあったかも知れません。

jp.techcrunch.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 裸の王様のイラスト

 

更新履歴

  • 2021年9月25日 AM