社員の利用を把握すべき 16 種類のクラウドアプリ 2016.01.26 目次共有アプリケーション ...................................................................................................................................................... 1 1. Skype ...................................................................................................................................................................... 1 2. yammer................................................................................................................................................................... 1 開発用アプリケーション ................................................................................................................................................. 2 3. Atlassian ................................................................................................................................................................ 2 4. GitHub..................................................................................................................................................................... 2 5. SourceForge......................................................................................................................................................... 2 ファイル共有アプリケーション ...................................................................................................................................... 3 6. DropBox ................................................................................................................................................................. 3 7. GoogleDrive .......................................................................................................................................................... 3 8. MyPCBackup.com .............................................................................................................................................. 3 9. Panoramio ............................................................................................................................................................. 4 10. WeTransfer....................................................................................................................................................... 4 11. Yandex.Disk ..................................................................................................................................................... 4 12. YouSendit ......................................................................................................................................................... 4 その他のアプリケーション ............................................................................................................................................. 5 13. Chatbeat ........................................................................................................................................................... 5 14. LogMeＩn............................................................................................................................................................. 5 15. Snagit, Jing ...................................................................................................................................................... 5 16. uTorrent ............................................................................................................................................................ 5 ObserveIT 機能抜粋 ....................................................................................................................................................... 6 社員の利用を把握すべき 16 種類のクラウドアプリ今日、企業が直面している最大のリスクのひとつが、人気と利用機会が高まっているクラウドベースアプリケーション、つまりシャドウ IT です。これらのアプリケーションは、社員は誰でも使用でき、セキュリティチームの監視の届かないまま膨大な量のデータが共有されています。これらのアプリケーションは機密や規制されるべきデータを社外にさらす、主要なルートになっているという事実に危険が横たわっています。さらに悪いことに、クラウドアプリを安全に使うことが非常に難しいことです。なぜかといえば社員の相当数がそれらを利用しているからです。データの誤使用の検出はさらに困難です。これらのアプリケーションに保存される膨大な量のデータに、それらが埋もれてしまうからです。そのため企業のデータを安全に保つためには特定のアプリケーションを区別し、ターゲットとし、目印をつけなければなりません。お手伝いします。下記は社員が使うクラウドアプリ 16 種類のリストであり、危険な理由を説明しています。企業はこれらについて、よく知らなければなりません。共有アプリケーション 1. Skype Skype は社員に非常に人気のある通信用クラウドアプリです。世界的企業の社員はよく利用します。インターネット経由でビデオチャット、音声会話が可能です。Skype は社員が利用すると危険な場合があります。ユーザーメールアドレス通して Skype アカウントが簡単にハイジャックできる様に思われます。一旦ハッカーがアクセス権を得ると、過去にクレジットで発注したアカウントの自動支払い機能をオンにできます。 2. yammer 社員が Yammer を個人用ソーシャルネットワークで使うと、ビジネスアプリケーション、部門、場所間で共有できます。不幸なことに、マイクロソフト Yammer SNS は複数の持続的なスクリプトコードインジェクション Web 脆弱性の可能性があります。社員の利用を把握すべき 16 種類のクラウドアプリ 1 開発用アプリケーション 3. Atlassian 開発者やプロジェクトマネージャがコラボレーション、コンテンツ共有、プロジェクト、そして問題追跡のツールとして使用します。不運なことに、2015 年 2 月、ユーザーの約 2％のデータがハッカーに盗まれるというデータ漏洩に見舞われました。これらのデータは社員の名前、メールアドレス、パスワードであった可能性があります。 4. GitHub プログラマーや開発者が使うクラウドアプリです。オープンソースやプライベートプロジェクトの、強力なコラボレーション、コードチェック、コード管理で知られています。しかし GitHub は 2015 年 3 月に攻撃を受け、中国から 5 日間 DDoS 攻撃が継続しました。DDoS 攻撃によりサーバーがパンクし、システムの処理が遅くなります。あなたの会社は何日も処理が遅くなったシステムに我慢できますか。 5. SourceForge 社員は Web ベースのソースコード保管場所として SourceForge を使うことがあります。ソフトウェア開発者がオープンソースソフトの開発管理に使う場所でもあります。不幸なことに過去 10 年内で SourceForge は開発者インフラ、データベース、保管場所としてのダウンロードミラーサーバーが危機的な攻撃を受けています。社員の利用を把握すべき 16 種類のクラウドアプリ 2 ファイル共有アプリケーション 6. DropBox 世界で最も人気のあるクラウドストレージであるのもかかわらず、 DropBox はエンタープライズクラスのソリューション同等のセキュリティレベルを提供しておりません。このサービスは個人、小規模企業のビジネス利用や社員用に設計されております。DropBox に企業文書を保存すると、エンタープライズレベルのセキュリティレベルの外におかれるため、洗練された攻撃に対して脆弱になります。2015 年 3 月、配布メカニズムに DropBox を利用するフィッシング攻撃用の Pacman と呼ばれる新しいランサムウェアが見つかりました。1 回のクリックでワークステーションが感染し、24 時間以内にビットコインに支払いを要求され、従わない場合、ワークステーションのデータをすべて失う恐れがあります。非常に悪質なランサムウェアです。 7. GoogleDrive 個人ユーザーベースのクラウドストレージサービスの Google Drive は DropBox と同じくセキュリティ問題に悩まされています。Google は最近アプリケーションのクラウドセキュリティに注力すると発表しましたが、結果は道半ばです。2014 年 11 月、Google Drive は洗練されたフィッシング攻撃にさらされました。サイバー犯罪者は合法的な Google Drive ログインページの変更版を出し、ユーザーのメールクレデンシャルを盗みました。Google Drive の人気を考えれば、もう一度同様の事態が発生すると、貴社の社員も感染する可能性があります。 8. MyPCBackup.com MyPCBackup は Andoroid 用として最も人気のあるバックアップソリューションの一つです。しかし、この自動バックアップは機密情報にアクセスできる社員にとってはきわめて危険なものになります。まず、社員が MyPCBackup デバイスのファイルをアクセスした場合、コピーがクラウドにアップロードされていることに気づかないでしょう。さらに、MyPCBackup に保存された大量のデータが、どのように悪用されているか知ることが困難です。社員の利用を把握すべき 16 種類のクラウドアプリ 3 9. Panoramio Panoramio は社員のいる場所を写真で共有するアプリケーションです。Google によって所有されており Google Earth と Google Maps でアクセスできます。撮影された写真を見れば社員がそこに居るという以上の情報が得られる可能性があります。2008 年 Panoramio はスパム攻撃を受け、写真に危険なリンクを含む数千アカウントとコメントが作成されました。これが再発し、社員が不正なリンクをクリックすると、セキュリティチームはいくつものセキュリティ問題に直面することになります。 10. WeTransfer 無料のクラウドベースファイル共有アプリケーションであり、メールでは不可能な大きなファイル送信に人気があります。問題は、社員の多くがこのサービスが安全にファイルを送信できるように設計されていないということを知らないことです。 11. Yandex.Disk 社員は保存、同期、共有、プレビューそして他の Yandex サービスと統合するために Yandex.Disk を利用しています。これは社員にとって危険なクラウドアプリです。ファイルが、個人ネットワークに接続されている可能性のあるインターネットデバイスのすべてと、同期されるためです。 12. YouSendit 個人やビジネスユーザーのための、ファイル送信、受信、電子署名、ファイル同期などのソリューションです。個人用とビジネス用があります。しかしビジネス用バージョンであっても企業にとって完全に安全とは言えません。知識や設定無しでクラウドアプリを使う場合、より安全性の低い個人用バージョンで企業の機密情報を送信する可能性があります。社員の利用を把握すべき 16 種類のクラウドアプリ 4 その他のアプリケーション 13. Chatbeat Chatbeat は企画やコンテンツ製作者が使う Web 解析アプリケーションです。リアルタイムに詳細情報が得られるため、どのようなコンテンツを利用すべきか、という決定が可能です。それほど古いことではありませんが、Web トラフィック監視会社がシリアの電子軍隊からフィッシング攻撃を受けました。Chatbeat ユーザーのダッシュボードが非承認第 3 者に閲覧され、多数のパスワードがリセットされたという報告がありました。第 3 者により企業ダッシュボードが覗かれ、パスワードがリセットされる可能性を示しています。 14. LogMeＩn 社員が自宅での仕事やリモートアクセスが容易にできるように LogMeＩn をダウンロードしているかもしれません。不幸にも、 LogMeＩn はリモートアクセスのためオープンしますが、企業のシステムに対して、危害を及ぼす可能性があります。リモートアクセスは仕事の効率化に役立ちますが、注意深く安全性が確保された状態で実行され、監視されていなければなりません。 15. Snagit, Jing Snagit や Jing を使えば、作業の画面記録や撮影が簡単にできます。不幸なことですが、個人アカウントを使うと、業務用の安全なネットワークで撮影したその画像は、安全でない家庭用ネットワークでアクセスできます。企業の情報が脆弱になります。 16. uTorrent これは BitTorrent サイトで入手できる無料のクローズドソースのアプリケーションです。管理無しで、社員はこのサイトから疑わしいトレントをダウンロードできてしまいますが、その結果システムに脆弱性ができます。社員の利用を把握すべき 16 種類のクラウドアプリ 5 このサービスで機密情報のトレントをアップロードすることが出来ます。2015 年 3 月、いくつもの企業の社員から、トレントダウンロード用最新版ソフトを使うと、不要なソフトウェアを知らない間にインストールされていた、と報告されています。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝これらのアプリケーションは同じように見えますか？そうだと思います。なぜならこれらは組織内で承認しようがしまいが使われているからです。重要なことは、社員はこれらのクラウドアプリを、情報漏洩を意図するために使ってはいないということです（多くの企業では）。仕事をする上で、単に便利だから使っているだけです。ビジネスクラスのファイル共有やコラボレーションツールが無いため、これらのクラウドアプリが必要と思われています。問題は、非常に機密性を要する情報を保存し転送するために、便利だからという理由で使われていることです。クレジットカード番号、社会サービス番号（マイナンバー、運転免許番号、健康保険番号など）、医療受診記録、その他の個人情報などです。一つの弱いパスワードや、デバイス紛失でデータ侵害に至ります。クラウドアプリは使いやすいですが、侵害されやすいということは忘れてはいけません。もちろん、多くの組織の最初の対応は、これらのクラウドアプリ利用を抑制するもしくは強制停止するということになります。理論的には分かりますが、アプリケーション利用の強制停止は悪い前例となり、生産性を妨げます。より現実的な戦略は ObserveIT のようなエンタープライズソフトを採用し、標準レポートで組織にシャドウ IT のリスクや、企業内でクラウドアプリにどのように対応すべきかを、社員に明確に理解させることです。ObserveIT を使えば、社員がデスクトップやラップトップで実行する、クラウドファイル共有、バックアップ、トレント、画像記録、Web 会議などのアプリケーションをすばやく監査できます。 ObserveIT 機能抜粋 • 画像キャプチャ記録および全ユーザー操作の検索可能なテキストベース記録のためのビデオアクティビティ解析 • セキュリティと簡単な調査のための SIEM, NMS, IT チケットシステム統合。セッション再生とユーザー操作ログの直接リンクを含む社員の利用を把握すべき 16 種類のクラウドアプリ 6 • リアルタイムアラートで疑わしい、危険なポリシー違反の行動にすぐに警告 • パスワードローテーション、チェックイン/チェックアウト不要の特権ユーザー識別 • 画面におけるキー入力とマウス操作を簡単に見つけられるキーワード検索可能なキー入力記録 • 疑わしい操作の検出と指摘可能な内部利用者脅威検出コンソール • 全システム領域とアプリケーションの操作記録。商用、旧式、特別開発、クラウド、そしてシステム領域にかかわらずすべて記録 • DB 管理者による運用 DB に対する SQL クエリー実行監視と監査のための DBA アクティビティ監査 • ローカルログイン、リモートデスクトップ、ターミナルサービス、PCAnywhere, Citrix, VMware, VNC, Dameware などのあらゆる接続をサポート • 作成済みおよびカスタム監査レポートは Excel, XML 出力可能。メールによる自動定期レポートも可能社員の利用を把握すべき 16 種類のクラウドアプリ 7 日本語版発行日 2016 年 1 月 26 日本ホワイトペーパー原文は『16 CLOUD APPS YOU NEED TO KNOW IF EMPLOYEES ARE USING』ですジュピターテクノロジー株式会社社員の利用を把握すべき 16 種類のクラウドアプリ