Chegg, Inc. は、高校生や大学生に教育製品やサービスを直接販売しています。これには、教科書のレンタル、奨学金探しの顧客の案内、オンライン個別指導の提供などが含まれます。しかしFTCによると、このエドテック企業の緩いセキュリティ慣行により、わずか数年の間に4件のデータ侵害が発生し、約4,000万人の消費者に関する個人情報の流用につながったという。 FTC の訴状と和解案のいくつかの注目すべき条項は、Chegg でデータ セキュリティの再教育コースを受講する時期が来たことを示唆しています。 FTC が Chegg が成績を落とせなかったと言ったことから、あなたの会社が学べる教訓はありますか?
カリフォルニアに拠点を置く Chegg は、事業の過程で、多くの顧客に関する、宗教への所属、伝統、生年月日、性的指向、障害、親の収入などの個人情報の宝庫を収集しました。サイバーセキュリティを担当する Chegg の従業員でさえ、奨学金検索サービスの一環として収集されたデータは「非常に機密である」と述べています。
Chegg の情報技術インフラストラクチャの重要なコンポーネントは、アマゾン ウェブ サービス (AWS) が提供するクラウド ストレージ サービスであるシンプル ストレージ サービス (S3) で、Chegg はこれを使用して大量の顧客および従業員データを保存しました。詳細については訴状を読んでいただきたいが、FTC は Chegg のセキュリティ慣行が緩いことを示す、Chegg が行ったこと、および行わなかったことの例を多数挙げている。たとえば、FTC は次のように主張しています。
- Chegg により、従業員とサードパーティ請負業者は、すべての情報に対する完全な管理権限を提供する単一のアクセス キーを使用して S3 データベースにアクセスできるようになりました。
- Chegg は、S3 データベースへのアカウント アクセスに多要素認証を必要としませんでした。
- Chegg はデータを暗号化するのではなく、ユーザーと従業員の個人情報を平文で保存しました。
- 少なくとも 2018 年 4 月までは、Chegg は古い暗号化ハッシュ関数を使用してパスワードを「保護」していました。
- Chegg は少なくとも 2020 年 4 月まで、従業員と請負業者に適切なデータ セキュリティ トレーニングを提供していませんでした。
- Chegg には、顧客や従業員の個人情報を管理するビジネス上の必要性がなくなった場合に、それらの情報を棚卸しおよび削除するためのプロセスが用意されていませんでした。
- Chegg は、不正にシステムに侵入し、機密データをシステムから違法に転送しようとする試みについて、ネットワークを適切に監視できませんでした。
訴状が個人情報の違法な暴露につながった 4 つの個別のエピソードについても詳しく述べていることは驚くべきことでしょうか。インシデント #1 は、Chegg 従業員がフィッシング攻撃に遭い、データ窃盗者が従業員の直接預金給与情報にアクセスできるようになったことから始まりました。インシデント #2 には、元請負業者が Chegg の AWS 認証情報を使用して、同社の S3 データベースの 1 つから機密情報を取得し、その情報が最終的に公開 Web サイトに流出したことが関係しています。
次に、インシデント #3 が発生しました。これは、Chegg の上級幹部が侵入し、侵入者が同社の多要素電子メール認証システムをバイパスすることを可能にしたフィッシング攻撃です。侵入者は役員の電子メールボックスに入ると、財務情報や医療情報を含む消費者に関する個人情報にアクセスできました。インシデント #4 では、給与計算を担当する上級従業員が別のフィッシング攻撃に遭い、侵入者が会社の給与計算システムにアクセスできるようになりました。侵入者は、生年月日や社会保障番号を含む、約 700 人の現従業員および元従業員の W-2 情報を残して立ち去りました。
訴状で挙げられた4つの事件のそれぞれにおいて、FTCはチェッグが簡単な予防措置を講じなかったと主張している それは、消費者や従業員のデータに対する脅威を防止または検出するのに役立った可能性があります。たとえば、従業員にフィッシング攻撃の兆候に関するデータ セキュリティ トレーニングの受講を義務付けるなどです。
訴訟を解決するために、Chegg はデータ保護慣行の包括的な再構築に同意しました。提案された命令の一環として、Chegg は収集する個人情報、情報を収集する理由、データをいつ削除するかを定めたスケジュールに従う必要があります。さらに、Chegg は顧客に対して収集された情報へのアクセスを提供し、そのデータの削除要求に応じなければなりません。また、Chegg は、アカウントを保護するために、顧客と従業員に 2 要素認証または別の認証方法を提供する必要があります。提案された命令が連邦官報に掲載されると、FTC は 30 日間パブリックコメントを受け付けます。
他の企業は Chegg の教訓から何を学べるでしょうか?
機密情報を保管する場合は特に注意してください。 会社が機密情報を保有すると、その情報を安全に保つ義務が課せられることになります。そして、合法的な企業がそのデータを維持する必要がある場合は、セキュリティに精通した企業がそのデータを安全に破棄します。しかしおそらく、最初の疑問は、そもそもその種の機密データが本当に必要なのかということです。収集しない場合は保護する必要はありません。
機密情報へのアクセスを制限します。 誰でもアクセスできるバックステージ パスは、お気に入りのバンドが街に来るときに大喜びのように聞こえますが、会社でデータを管理する場合はひどいアイデアです。データが仕事に不可欠な要素である従業員や請負業者へのアクセスを制限します。ただし、プロジェクトが終了したり、職務が変更になったりした場合は、直ちにアクセスを遮断してください。
データインシデントに即時かつ確実に対応します。 チェッグを持っていた に概説されている基本事項に従いました セキュリティから始める あるいは、FTC のデータ セキュリティ対策から得られる重要な指針があれば、同社は 4,000 万人の消費者の一部が、そもそもデータが公開されるという頭痛の種を免れたかもしれません。しかし、データ セキュリティ インシデントを経験したこと、そして確かに 4 件のデータ セキュリティ インシデントが発生したことは、Chegg の手順の包括的な見直しのきっかけとなるはずでした。
定期的に社内セキュリティ研修を実施します。 新人研修プロセスの一環として、新入社員と請負業者にセキュリティ基準について教育します。定期的に復習を行い、脅威やリスクが変化した場合には再度フォローアップします。社内トレーニングが時々目を白黒させてしまう可能性があることは承知していますが、高校の保健の授業のひどいフィルムのせいだと思いますが、データ セキュリティ トレーニングが退屈なものであることを義務付ける法律はありません。はい、IT スタッフを巻き込む必要がありますが、社内のクリエイティブな担当者にも相談する必要があります。カラー、ビデオ、クイズ、IRL ストーリーなどは、視聴者の関心を引くのに役立ちます。最初から始める必要はありません。 FTCの 中小企業向けサイバーセキュリティのリソース 何かインスピレーションを与えてくれるかもしれない。
