2006年06月02日 09時50分 公開
特集/連載

企業のWebフィルターを出し抜く社員たちCase Study

企業が情報を守るために採用しているセキュリティツールを「社員監視の道具」と見なし、なんとか出し抜こうとする社員は常にいるものだ。

[TechTarget]

 ワシントン・グループ・インターナショナルのような大企業では常に、会社の方針で禁じられているWebサイトを見に行ったり、許可されていないプログラムを使おうとする社員がいる可能性がある。

 同社のITセキュリティディレクターを務めるエド・ビアンカレリ氏は、P2Pの使用と、ポルノサイトやギャンブルサイトの閲覧を禁止する厳格なWeb使用ポリシーを定めている。社員がこのポリシーを破らぬよう侵入防御システム(IPS)アプライアンスを採用しているが、最強のセキュリティツールをもってしても、全社員にポリシーを遵守させるのは不可能だと分かった。

 ビアンカレリ氏のようなIT専門家にとって、もう1つの問題は、社内でWebを閲覧する悪意はないと思われる社員が、セキュリティ保護プログラムを社員監視ツールと見なすことだ。セキュリティソリューション企業ベリセプトの上級副社長、ジョセフ・コルテール氏によると、こうした考えの社員は企業のセキュリティツールを出し抜く方法をネット上で探すという。

 「企業は顧客情報と知的財産を守ろうとしており、社員による侵害があまりにも多いことを懸念している」と語るコルテール氏の勤めるベリセプトは、WGIの社員がアクセスするオンラインコンテンツをビアンカレリ氏が監視するのを助けている。「社員がさまざまなサイトを閲覧するのを阻止するURLフィルタリング技術があるが、こうしたツールを出し抜く方法を社員に教えるWebサイトがある」(コルテール氏)

 ワシントン・グループ・インターナショナル(WGI)はエンジニアリング/建設/マネジメントを主たる事業とする企業グループ。社員2万人を抱え、世界中に事務所を持っている同社のような規模の会社では常に、会社の方針で禁じられているWebサイトを見に行ったり、許可されていないプログラムを使おうとする社員がいる可能性がある。

 同社のITセキュリティディレクターを務めるエド・ビアンカレリ氏は、P2Pの使用と、ポルノサイトやギャンブルサイトの閲覧を禁止する厳格なWeb使用ポリシーを定めている。社員がこのポリシーを破らぬよう侵入防止システム(IPS)アプライアンスを採用しているが、最強のセキュリティツールをもってしても、全社員にポリシーを遵守させるのは不可能だと分かった。

 「当社はハイテク企業ではないので、社員がポリシーを出し抜く恐れはそれほど大きくはない。だが、許可されていないP2Pファイル交換とIM(インターネットメッセージング)の使用が行われた」(ビアンカレリ氏)

 ビアンカレリ氏のようなIT専門家にとって、もう1つの問題は、社内でWebを閲覧する悪意はないと思われる社員が、セキュリティ保護プログラムを社員監視ツールと見なすことだ。セキュリティソリューション企業ベリセプトの上級副社長、ジョセフ・コルテール氏によると、こうした考えの社員は企業のセキュリティツールを出し抜く方法をネット上で探すという。

 「企業は顧客情報と知的財産を守ろうとしており、社員による侵害があまりにも多いことを懸念している」と語るコルテール氏の勤めるベリセプトは、WGIの社員がアクセスするオンラインコンテンツをビアンカレリ氏が監視するのを助けている。「社員がさまざまなサイトを閲覧するのを阻止するURLフィルタリング技術があるが、こうしたツールを出し抜く方法を社員に教えるWebサイトがある」(コルテール氏)

 同氏によると、そうしたサイトの1つは有名なBoingBoingブログだ。実際、BoingBoingには「検閲ソフトの破り方」の特集ページがある。

 「もしあなたの会社もしくは非民主的で専制的な腐敗した政府がBoingBoing.netその他のサイトへのアクセスを阻止するフィルタサービスを使っていても」さまざまな回避手段がある、とこのブログには書かれている。そうした手段の1つはCircumventorというプロキシソフトで、このソフトを作ったのはピースファイアという「インターネット上の言論の自由について議論する18歳未満の人々の利益」を代表するグループだという。

 「このソフトをPCにインストールし、人々があなたのプロキシを使ってWebにアクセスするのを助けたり、職場や学校からどんなWebサイトにでもアクセスできるようにしよう」とBoingBoingに書かれている。

 ピースファイアのサイトとメーリングリストを運営しているのは、シアトル在住のフリープログラマー、ベネット・ヘイゼルトン氏。同氏はメールでの取材に対し、ピースファイアの目的は情報セキュリティを破ることではないと語った。実際、企業が遮断することを決めているサイトの幾つかは決して危険ではないという。

 「BoingBoingに限って言えば、誰かのPCを害するようなところにわざとリンクすることは――少なくともユーザーへの警告なしには――まずない。また、BoingBoingからリンクされたURLはおそらく、完全無作為に選んだURLよりは安全だろう」(ヘイゼルトン氏)

 それに、外部からの攻撃者が悪意あるWebページを使って、誰かのPC上で許可されていないプログラムを走らせようとしても、ほとんどの企業のファイアウォールがそれを阻止するだろう。さらに、企業はたとえ1台のPCが危険にさらされても問題にならない社内ネットワーク規制を設けるべきだし、「特別にアクセスを許されたアカウントを持つ社員以外は機密情報へのアクセスができないようにするべきだ」とヘイゼルトン氏は言う。

 同氏は、スパイウェアなどを避けるための規則に従うよう十分教育された社員にのみ、機密情報へのアクセス権を与えるべきだと言う。

 ヘイゼルトン氏は、ピースファイアは企業のセキュリティ管理の回避を支持しているわけではないと強調した。

 「ピースファイアは主に抑圧された国々の若者や市民に対する検閲と戦っている。いずれにしても、そうした人々には選択肢がないからだ。だが、自分で就職先を選択するなら、その会社の規則に従うべきだ」(ヘイゼルトン氏)

 しかし、たとえピースファイアのようなグループや企業の社員に悪気がなくても、企業のインサイダーが合法的なツールを悪質な目的のために使うリスクは常にあるとコルテール氏は言う。

 「当社の顧客は自分の金銭的利益のために財産を盗もうとする社員がいることに気付いている。職場でも見たいWebサイトは何でも見られるべきだと思っている社員に言っておこう。自宅のPCはそのためにある」(コルテール氏)

ITmedia マーケティング新着記事

news176.jpg

Teslaが成長率1位、LVMHグループ5ブランドがランクイン 「Best Global Brands 2021」
毎年恒例の世界のブランド価値評価ランキング。首位のAppleから10位のDisneyまでは前年と...

news056.jpg

「巣ごもり消費」で選ばれるブランドになる「シャンパンタワー型コミュニケーション戦略」のすすめ
「巣ごもり消費」はPRをどう変えたのか。コロナ禍における需要喚起に有効なB2C向けの統合...

テレビ放送と人流の相関を示すデータサービス クロスロケーションズが提供開始
テレビ番組やテレビCMをテキスト化・データベース化した「TVメタデータ」とGPSをベースと...