企業は従業員のClubhouse利用をどう考えるべきか。専門家たちの意見を紹介する。
前編(これでも使う? Clubhouseの怪しいセキュリティ/プライバシー問題)では、Clubhouseが信頼できない理由を紹介した。後編では、Clubhouseのまだまだある問題点を紹介する。
Outpost24のマーティン・ジャーテリアス氏(CSO:最高セキュリティ責任者)も同じ意見だ。同氏によると、ClubhouseがGDPR(一般データ保護規則)に違反している可能性について、ドイツのデータ保護機関に既に懸念を持たれているという。実際、Clubhouseの利用規約にはGDPRへの言及が確かになかった時機があると同氏は話す。
「開発時にセキュリティが最優先事項であったなら、利用規約でGDPRに触れることを果たして忘れるだろうか」
「安全性が低く、プライバシーに配慮していない環境で会話をするという想定通りの使い方で満足するならClubhouseに失望することはないだろう。だがプライバシーが重要なら、Clubhouseが目的に合ったコミュニケーションツールでないことは確かだ」
OneLoginでグローバルデータ保護責任者を務めるナイアム・マルドゥーン氏は、最近の一連の事件がなくても、企業端末でClubhouseのようなアプリを使うことは職場のポリシーに反する恐れがあると警告する。
同氏によると、ほとんどの企業が導入しているプライバシーの枠組みは雇用契約、企業ポリシー(利用規定など)に準拠し、これは「従業員は自社にデータ所有を許可すること」と「雇用主はそのデータの使用についてプライバシー義務を守り、システムで処理および保存するときにこれを保護すること」の二重の契約責任だという。
「録音が許可なく共有されることによるプライバシーの漏えいが懸念される。これにより、不注意であれ意図的であれ、データが公開されてプライバシー侵害が発生する恐れがある。調査目的でデータ主体から個人データへのアクセス要求が行われる可能性もある。注意したいのは、プライバシーとは収集した目的のみにデータを使用することであるため、企業が自社の情報資産や関連する情報資産の保護を目的としてClubhouseのチャットルームを監視できないことだ」
同氏は次のように補足する。
「従ってClubhouseは、企業がエンドポイントへのインストールを許可する前に十分に注意を払わなければいけないアプリの一つだ。このアプリの最近のセキュリティ侵害を考えれば特にそうだ。調査報告書が共有され是正措置が実施されるまで、Clubhouseの使用を制限することを強く推奨する」
Edgescanのキース・ゲラティ氏(ソリューションアーキテクト)は、Clubhouseに限らずメッセージングアプリの企業端末へのインストールには注意が必要だと話す。
同氏は、会話が公開されるというリスクを受け入れるのでなければ、Clubhouseの利用を制限するか停止することをCISO(最高情報セキュリティ責任者)に強く推奨する。
「パンデミックは、オンラインでの新しいコミュニケーションを促した。これによって新しいプラットフォームが増え、イノベーションが起きている。Clubhouseではなく企業がデューデリジェンスとセキュリティファーストの実績を提供できる別のサービスを検討して採用することを推奨する」と同氏は話す。
「これは単にClubhouseのプライバシー侵害リスクを避けるための行動ではなく、セキュリティの一般的なベストプラクティスだ。パーソナルメッセージングアプリ、Webサイトは、企業端末からのアクセスという点ではセキュリティ上の懸念がある」
Lookoutのブラク・アジャ氏(セキュリティエンジニア)によると、Clubhouseの問題は万人がソーシャルメディアのベストプラクティスをタイムリーに復習する機会であり、どのようなチャネルでもデータを共有すべきではないという警鐘だという。
「今、モバイル端末での仕事とプライベートの境界がなくなっており、ソーシャルメディアで企業情報を不注意に共有してしまうリスクが高まっている」と同氏は語る。
特定のプラットフォーム、アプリ、Webサイトをエンドポイントでブロックすることが効果的な場合もあるが、その繰り返しではセキュリティチームが新しいルールと例外を永遠に作り続ける「もぐらたたきゲーム」が延長されるだけだと警告するのは、KnowBe4のジャバド・マリク氏(セキュリティ意識向上責任者)だ。
「優れたセキュリティ戦略は、ハイリスクのサイトをブロックすると同時に他のサイトを使用する危険性とプライバシーへの影響についてユーザーを教育することだ。そうすれば、ユーザーはリスクについて適切な判断を下し、危険なサイトを避け、自身や自社を危険にさらさない方法で使うようになる」
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
