Webの濫用が社内リスクを浮き彫りに：Column

ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ。

≫ 2006年06月06日 09時31分公開

[TechTarget]

　あるITマネジャーはWebフィルタリングのおかげで、従業員の1人が勤務中にeBayで商品を販売し、サイドビジネスを行っていることを発見した。勤務時間中にオンラインオークションに目を光らせるというのは特に珍しい話ではないが、この従業員が特別だったのは、会社の倉庫から盗んだ事務用品を販売していた点だ。

　もう1つ特筆すべき例としては、社内の賭博用に会社のサーバに手を加え、その後、その成功をさらに発展させてフルスケールのギャンブルサイトを構築した従業員らのエピソードもあった。これらの行為はすべて、社内ネットワークのファイアウォール内で行われた。

　これらのエピソードが示しているのは、従業員の抜かりなさだけではない。こうした行為は生産性と帯域幅を消耗するだけでなく、法的およびセキュリティ上のリスクをもたらす。

　「セキュリティのプロにとって、ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威は外部から侵入するわけではない。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ」と関係者は語る。

　カリフォルニア州オレンジの8e6テクノロジーズのマーケティング担当副社長エリック・ルンドボーム氏は、「われわれも、これはうまいアイデアだと感心した」と皮肉めかして語っている。同社は2月のRSAセキュリティカンファレンスで実施した調査の結果を発表し、その後、ベストストーリー賞を発表している。

　同社の社長兼COO（最高執行責任者）、ポール・マイヤー氏は次のように説明している。「eBayで内職をしている人の話は良く聞く。この話が特異だったのは、会社の備品が売りに出されていた点だ」

　ベストストーリー賞の第2位には、あるCTOが選ばれた。このCTOの会社では、ランジェリーショップのヴィクトリアシークレットのウェブキャストのせいでネットワークに負荷がかかり過ぎ、社内でサービス拒否（DoS）攻撃が起きてしまった。第3位に選ばれたのは、勤務中にオンラインのコールガールサービスを運営していた女性社員を見つけたインフラマネジャーだ。

　「皆のアイデアを見ていると、想像が広がる」とマイヤー氏。同氏は特に憂慮すべき例として、自分の隣のキュービクルにWebカメラを巧みに取り付け、自宅で仕事をしながら同僚をスパイしていた従業員の話を披露した。

　「セキュリティのプロにとって、ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威は外部から侵入するわけではない。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ」とマイヤー氏。

　アクセス管理ツールメーカーの8e6テクノロジーズ（この社名は、“誰かを追い出す”という意味を持つ「eighty-six someone」というフレーズに由来する）は教育分野で多数の顧客を抱えている。マイヤー氏によれば、そのため、内部者によるリスキーな行為や不正行為に関する優れたテストベッド（検証・評価環境）が提供されているという。「教育分野の顧客は、多くの時間と多くの好奇心を持った非常に創造的なユーザーを相手にしている」と同氏。

　8e6テクノロジーズによれば、この9カ月の間に、Webサーファーの正体を隠すために匿名ツールが悪用されるケースが増加している。同社はそれを受けて、オープンソースや一般に公開されているプロクシソフトウェアをパケットレベルで遮断するための機能をURLライブラリに組み込んだ。

　「従業員はおそらく、インターネットは無制限のリソースであり、少し濫用したところで犠牲者なき犯罪だと考えているのだろう。セキュリティのプロフェッショナルにとっての難題は、価値あるものとそうでないものとを見分けることだ」とルンドボーム氏は語っている。

TechTargetジャパントップセキュリティ