社員の利用を把握すべき 16 種類のクラウドアプリ

社員の利用を把握すべき
16 種類のクラウドアプリ
2016.01.26
目次
共有アプリケーション ...................................................................................................................................................... 1
1.
Skype ...................................................................................................................................................................... 1
2.
yammer................................................................................................................................................................... 1
開発用アプリケーション ................................................................................................................................................. 2
3.
Atlassian ................................................................................................................................................................ 2
4.
GitHub..................................................................................................................................................................... 2
5.
SourceForge......................................................................................................................................................... 2
ファイル共有アプリケーション ...................................................................................................................................... 3
6.
DropBox ................................................................................................................................................................. 3
7.
GoogleDrive .......................................................................................................................................................... 3
8.
MyPCBackup.com .............................................................................................................................................. 3
9.
Panoramio ............................................................................................................................................................. 4
10.
WeTransfer....................................................................................................................................................... 4
11.
Yandex.Disk ..................................................................................................................................................... 4
12.
YouSendit ......................................................................................................................................................... 4
その他のアプリケーション ............................................................................................................................................. 5
13.
Chatbeat ........................................................................................................................................................... 5
14.
LogMeIn............................................................................................................................................................. 5
15.
Snagit, Jing ...................................................................................................................................................... 5
16.
uTorrent ............................................................................................................................................................ 5
ObserveIT 機能抜粋 ....................................................................................................................................................... 6
社員の利用を把握すべき
16 種類のクラウドアプリ
今日、企業が直面している最大のリスクのひとつが、人気と利用機会が高まっているクラウドベー
スアプリケーション、つまりシャドウ IT です。これらのアプリケーションは、社員は誰でも使用でき、
セキュリティチームの監視の届かないまま膨大な量のデータが共有されています。これらのアプリ
ケーションは機密や規制されるべきデータを社外にさらす、主要なルートになっているという事実
に危険が横たわっています。
さらに悪いことに、クラウドアプリを安全に使うことが非常に難しいことです。なぜかといえば社員
の相当数がそれらを利用しているからです。データの誤使用の検出はさらに困難です。これらの
アプリケーションに保存される膨大な量のデータに、それらが埋もれてしまうからです。そのため
企業のデータを安全に保つためには特定のアプリケーションを区別し、ターゲットとし、目印をつけ
なければなりません。
お手伝いします。下記は社員が使うクラウドアプリ 16 種類のリストであり、危険な理由を説明して
います。企業はこれらについて、よく知らなければなりません。
共有アプリケーション
1.
Skype
Skype は社員に非常に人気のある通信用クラウドアプリです。世
界的企業の社員はよく利用します。インターネット経由でビデオ
チャット、音声会話が可能です。Skype は社員が利用すると危険
な場合があります。ユーザーメールアドレス通して Skype アカウ
ントが簡単にハイジャックできる様に思われます。一旦ハッカーがアクセス権を得ると、過去にクレ
ジットで発注したアカウントの自動支払い機能をオンにできます。
2.
yammer
社員が Yammer を個人用ソーシャルネットワークで使うと、ビジネ
スアプリケーション、部門、場所間で共有できます。不幸なことに、
マイクロソフト Yammer SNS は複数の持続的なスクリプトコードイ
ンジェクション Web 脆弱性の可能性があります。
社員の利用を把握すべき
16 種類のクラウドアプリ
1
開発用アプリケーション
3.
Atlassian
開発者やプロジェクトマネージャがコラボレーション、コンテン
ツ共有、プロジェクト、そして問題追跡のツールとして使用しま
す。不運なことに、2015 年 2 月、ユーザーの約 2%のデータが
ハッカーに盗まれるというデータ漏洩に見舞われました。これらのデータは社員の名前、メールア
ドレス、パスワードであった可能性があります。
4.
GitHub
プログラマーや開発者が使うクラウドアプリです。オープンソースや
プライベートプロジェクトの、強力なコラボレーション、コードチェック、
コード管理で知られています。しかし GitHub は 2015 年 3 月に攻撃
を受け、中国から 5 日間 DDoS 攻撃が継続しました。DDoS 攻撃によりサーバーがパンクし、シス
テムの処理が遅くなります。あなたの会社は何日も処理が遅くなったシステムに我慢できますか。
5.
SourceForge
社員は Web ベースのソースコード保管場所として SourceForge を使う
ことがあります。ソフトウェア開発者がオープンソースソフトの開発管
理に使う場所でもあります。不幸なことに過去 10 年内で SourceForge
は開発者インフラ、データベース、保管場所としてのダウンロードミラ
ーサーバーが危機的な攻撃を受けています。
社員の利用を把握すべき
16 種類のクラウドアプリ
2
ファイル共有アプリケーション
6.
DropBox
世界で最も人気のあるクラウドストレージであるのもかかわらず、
DropBox はエンタープライズクラスのソリューション同等のセキュ
リティレベルを提供しておりません。このサービスは個人、小規模
企業のビジネス利用や社員用に設計されております。DropBox に企業文書を保存すると、エンタ
ープライズレベルのセキュリティレベルの外におかれるため、洗練された攻撃に対して脆弱になり
ます。2015 年 3 月、配布メカニズムに DropBox を利用するフィッシング攻撃用の Pacman と呼ば
れる新しいランサムウェアが見つかりました。1 回のクリックでワークステーションが感染し、24 時
間以内にビットコインに支払いを要求され、従わない場合、ワークステーションのデータをすべて
失う恐れがあります。非常に悪質なランサムウェアです。
7.
GoogleDrive
個人ユーザーベースのクラウドストレージサービスの Google Drive は
DropBox と同じくセキュリティ問題に悩まされています。Google は最近アプリ
ケーションのクラウドセキュリティに注力すると発表しましたが、結果は道半
ばです。2014 年 11 月、Google Drive は洗練されたフィッシング攻撃にさらさ
れました。サイバー犯罪者は合法的な Google Drive ログインページの変更
版を出し、ユーザーのメールクレデンシャルを盗みました。Google Drive の人気を考えれば、もう一
度同様の事態が発生すると、貴社の社員も感染する可能性があります。
8.
MyPCBackup.com
MyPCBackup は Andoroid 用として最も人気のあるバック
アップソリューションの一つです。しかし、この自動バック
アップは機密情報にアクセスできる社員にとってはきわ
めて危険なものになります。まず、社員が MyPCBackup デバイスのファイルをアクセスした場合、
コピーがクラウドにアップロードされていることに気づかないでしょう。さらに、MyPCBackup に保存
された大量のデータが、どのように悪用されているか知ることが困難です。
社員の利用を把握すべき
16 種類のクラウドアプリ
3
9.
Panoramio
Panoramio は社員のいる場所を写真で共有するアプリケー
ションです。Google によって所有されており Google Earth と
Google Maps でアクセスできます。撮影された写真を見れば
社員がそこに居るという以上の情報が得られる可能性があります。2008 年 Panoramio はスパム攻
撃を受け、写真に危険なリンクを含む数千アカウントとコメントが作成されました。これが再発し、
社員が不正なリンクをクリックすると、セキュリティチームはいくつものセキュリティ問題に直面する
ことになります。
10.
WeTransfer
無料のクラウドベースファイル共有アプリケーションであり、
メールでは不可能な大きなファイル送信に人気があります。
問題は、社員の多くがこのサービスが安全にファイルを送
信できるように設計されていないということを知らないことで
す。
11.
Yandex.Disk
社員は保存、同期、共有、プレビューそして他の Yandex サービス
と統合するために Yandex.Disk を利用しています。これは社員に
とって危険なクラウドアプリです。ファイルが、個人ネットワークに
接続されている可能性のあるインターネットデバイスのすべてと、
同期されるためです。
12.
YouSendit
個人やビジネスユーザーのための、ファイル送信、受信、電子
署名、ファイル同期などのソリューションです。個人用とビジネ
ス用があります。しかしビジネス用バージョンであっても企業に
とって完全に安全とは言えません。知識や設定無しでクラウド
アプリを使う場合、より安全性の低い個人用バージョンで企業
の機密情報を送信する可能性があります。
社員の利用を把握すべき
16 種類のクラウドアプリ
4
その他のアプリケーション
13.
Chatbeat
Chatbeat は企画やコンテンツ製作者が使う Web 解析アプリ
ケーションです。リアルタイムに詳細情報が得られるため、ど
のようなコンテンツを利用すべきか、という決定が可能です。
それほど古いことではありませんが、Web トラフィック監視会社がシリアの電子軍隊からフィッシン
グ攻撃を受けました。Chatbeat ユーザーのダッシュボードが非承認第 3 者に閲覧され、多数のパ
スワードがリセットされたという報告がありました。第 3 者により企業ダッシュボードが覗かれ、パス
ワードがリセットされる可能性を示しています。
14.
LogMeIn
社員が自宅での仕事やリモートアクセスが容易にできるように
LogMeIn をダウンロードしているかもしれません。不幸にも、
LogMeIn はリモートアクセスのためオープンしますが、企業のシ
ステムに対して、危害を及ぼす可能性があります。リモートアク
セスは仕事の効率化に役立ちますが、注意深く安全性が確保された状態で実行され、監視されて
いなければなりません。
15.
Snagit, Jing
Snagit や Jing を使えば、作業の画面記録や撮影が簡単にできます。 不
幸なことですが、個人アカウントを使うと、業務用の安全なネットワークで
撮影したその画像は、安全でない家庭用ネットワークでアクセスできます。
企業の情報が脆弱になります。
16.
uTorrent
これは BitTorrent サイトで入手できる無料のクローズドソースのアプ
リケーションです。管理無しで、社員はこのサイトから疑わしいトレン
トをダウンロードできてしまいますが、その結果システムに脆弱性が
できます。
社員の利用を把握すべき
16 種類のクラウドアプリ
5
このサービスで機密情報のトレントをアップロードすることが出来ます。2015 年 3 月、いくつもの企
業の社員から、トレントダウンロード用最新版ソフトを使うと、不要なソフトウェアを知らない間にイ
ンストールされていた、と報告されています。
========================================
これらのアプリケーションは同じように見えますか?そうだと思います。なぜならこれらは組織内で
承認しようがしまいが使われているからです。
重要なことは、社員はこれらのクラウドアプリを、情報漏洩を意図するために使ってはいないという
ことです(多くの企業では)。仕事をする上で、単に便利だから使っているだけです。ビジネスクラ
スのファイル共有やコラボレーションツールが無いため、これらのクラウドアプリが必要と思われて
います。問題は、非常に機密性を要する情報を保存し転送するために、便利だからという理由で
使われていることです。クレジットカード番号、社会サービス番号(マイナンバー、運転免許番号、
健康保険番号など)、医療受診記録、その他の個人情報などです。一つの弱いパスワードや、デ
バイス紛失でデータ侵害に至ります。クラウドアプリは使いやすいですが、侵害されやすいという
ことは忘れてはいけません。
もちろん、多くの組織の最初の対応は、これらのクラウドアプリ利用を抑制するもしくは強制停止
するということになります。理論的には分かりますが、アプリケーション利用の強制停止は悪い前
例となり、生産性を妨げます。
より現実的な戦略は ObserveIT のようなエンタープライズソフトを採用し、標準レポートで組織にシ
ャドウ IT のリスクや、企業内でクラウドアプリにどのように対応すべきかを、社員に明確に理解さ
せることです。ObserveIT を使えば、社員がデスクトップやラップトップで実行する、クラウドファイル
共有、バックアップ、トレント、画像記録、Web 会議などのアプリケーションをすばやく監査できま
す。
ObserveIT 機能抜粋
•
画像キャプチャ記録および全ユーザー操作の検索可能なテキストベース記録のためのビデ
オアクティビティ解析
•
セキュリティと簡単な調査のための SIEM, NMS, IT チケットシステム統合。セッション再生とユ
ーザー操作ログの直接リンクを含む
社員の利用を把握すべき
16 種類のクラウドアプリ
6
•
リアルタイムアラートで疑わしい、危険なポリシー違反の行動にすぐに警告
•
パスワードローテーション、チェックイン/チェックアウト不要の特権ユーザー識別
•
画面におけるキー入力とマウス操作を簡単に見つけられるキーワード検索可能なキー入力
記録
•
疑わしい操作の検出と指摘可能な内部利用者脅威検出コンソール
•
全システム領域とアプリケーションの操作記録。商用、旧式、特別開発、クラウド、そしてシス
テム領域にかかわらずすべて記録
•
DB 管理者による運用 DB に対する SQL クエリー実行監視と監査のための DBA アクティビテ
ィ監査
•
ローカルログイン、リモートデスクトップ、ターミナルサービス、PCAnywhere, Citrix, VMware,
VNC, Dameware などのあらゆる接続をサポート
•
作成済みおよびカスタム監査レポートは Excel, XML 出力可能。メールによる自動定期レポー
トも可能
社員の利用を把握すべき
16 種類のクラウドアプリ
7
日本語版発行日 2016 年 1 月 26 日
本ホワイトペーパー原文は
『16 CLOUD APPS YOU NEED TO KNOW IF EMPLOYEES ARE USING』です
ジュピターテクノロジー株式会社
社員の利用を把握すべき
16 種類のクラウドアプリ