企業が考えるべきClubhouseリスク：Clubhouseの諸問題【後編】

企業は従業員のClubhouse利用をどう考えるべきか。専門家たちの意見を紹介する。

[Alex Scroxton，Computer Weekly]

　前編（これでも使う？　Clubhouseの怪しいセキュリティ／プライバシー問題）では、Clubhouseが信頼できない理由を紹介した。後編では、Clubhouseのまだまだある問題点を紹介する。

GDPRへの配慮なし

　Outpost24のマーティン・ジャーテリアス氏（CSO：最高セキュリティ責任者）も同じ意見だ。同氏によると、ClubhouseがGDPR（一般データ保護規則）に違反している可能性について、ドイツのデータ保護機関に既に懸念を持たれているという。実際、Clubhouseの利用規約にはGDPRへの言及が確かになかった時機があると同氏は話す。

　「開発時にセキュリティが最優先事項であったなら、利用規約でGDPRに触れることを果たして忘れるだろうか」

　「安全性が低く、プライバシーに配慮していない環境で会話をするという想定通りの使い方で満足するならClubhouseに失望することはないだろう。だがプライバシーが重要なら、Clubhouseが目的に合ったコミュニケーションツールでないことは確かだ」

利用規定

　OneLoginでグローバルデータ保護責任者を務めるナイアム・マルドゥーン氏は、最近の一連の事件がなくても、企業端末でClubhouseのようなアプリを使うことは職場のポリシーに反する恐れがあると警告する。

　同氏によると、ほとんどの企業が導入しているプライバシーの枠組みは雇用契約、企業ポリシー（利用規定など）に準拠し、これは「従業員は自社にデータ所有を許可すること」と「雇用主はそのデータの使用についてプライバシー義務を守り、システムで処理および保存するときにこれを保護すること」の二重の契約責任だという。

　「録音が許可なく共有されることによるプライバシーの漏えいが懸念される。これにより、不注意であれ意図的であれ、データが公開されてプライバシー侵害が発生する恐れがある。調査目的でデータ主体から個人データへのアクセス要求が行われる可能性もある。注意したいのは、プライバシーとは収集した目的のみにデータを使用することであるため、企業が自社の情報資産や関連する情報資産の保護を目的としてClubhouseのチャットルームを監視できないことだ」

関連記事

• 主要VPNサービスは危険？　VPNプロバイダーの資本や国籍に注意
• Alibaba Cloudの世界進出は成功するか
• SNSユーザーにはびこる悪意ある「ブラウザ拡張機能」に注意
• 2FAバイパスツールがもたらした二要素認証安全神話の終焉
• AWSが実践しているセキュアなクラウドサービス構築の秘密

　同氏は次のように補足する。

　「従ってClubhouseは、企業がエンドポイントへのインストールを許可する前に十分に注意を払わなければいけないアプリの一つだ。このアプリの最近のセキュリティ侵害を考えれば特にそうだ。調査報告書が共有され是正措置が実施されるまで、Clubhouseの使用を制限することを強く推奨する」

　Edgescanのキース・ゲラティ氏（ソリューションアーキテクト）は、Clubhouseに限らずメッセージングアプリの企業端末へのインストールには注意が必要だと話す。

　同氏は、会話が公開されるというリスクを受け入れるのでなければ、Clubhouseの利用を制限するか停止することをCISO（最高情報セキュリティ責任者）に強く推奨する。

　「パンデミックは、オンラインでの新しいコミュニケーションを促した。これによって新しいプラットフォームが増え、イノベーションが起きている。Clubhouseではなく企業がデューデリジェンスとセキュリティファーストの実績を提供できる別のサービスを検討して採用することを推奨する」と同氏は話す。

　「これは単にClubhouseのプライバシー侵害リスクを避けるための行動ではなく、セキュリティの一般的なベストプラクティスだ。パーソナルメッセージングアプリ、Webサイトは、企業端末からのアクセスという点ではセキュリティ上の懸念がある」

　Lookoutのブラク・アジャ氏（セキュリティエンジニア）によると、Clubhouseの問題は万人がソーシャルメディアのベストプラクティスをタイムリーに復習する機会であり、どのようなチャネルでもデータを共有すべきではないという警鐘だという。

　「今、モバイル端末での仕事とプライベートの境界がなくなっており、ソーシャルメディアで企業情報を不注意に共有してしまうリスクが高まっている」と同氏は語る。

教育こそ適切な防御策

　特定のプラットフォーム、アプリ、Webサイトをエンドポイントでブロックすることが効果的な場合もあるが、その繰り返しではセキュリティチームが新しいルールと例外を永遠に作り続ける「もぐらたたきゲーム」が延長されるだけだと警告するのは、KnowBe4のジャバド・マリク氏（セキュリティ意識向上責任者）だ。

　「優れたセキュリティ戦略は、ハイリスクのサイトをブロックすると同時に他のサイトを使用する危険性とプライバシーへの影響についてユーザーを教育することだ。そうすれば、ユーザーはリスクについて適切な判断を下し、危険なサイトを避け、自身や自社を危険にさらさない方法で使うようになる」