企業のWebフィルターを出し抜く社員たち:Case Study
企業が情報を守るために採用しているセキュリティツールを「社員監視の道具」と見なし、なんとか出し抜こうとする社員は常にいるものだ。
ワシントン・グループ・インターナショナルのような大企業では常に、会社の方針で禁じられているWebサイトを見に行ったり、許可されていないプログラムを使おうとする社員がいる可能性がある。
同社のITセキュリティディレクターを務めるエド・ビアンカレリ氏は、P2Pの使用と、ポルノサイトやギャンブルサイトの閲覧を禁止する厳格なWeb使用ポリシーを定めている。社員がこのポリシーを破らぬよう侵入防御システム(IPS)アプライアンスを採用しているが、最強のセキュリティツールをもってしても、全社員にポリシーを遵守させるのは不可能だと分かった。
ビアンカレリ氏のようなIT専門家にとって、もう1つの問題は、社内でWebを閲覧する悪意はないと思われる社員が、セキュリティ保護プログラムを社員監視ツールと見なすことだ。セキュリティソリューション企業ベリセプトの上級副社長、ジョセフ・コルテール氏によると、こうした考えの社員は企業のセキュリティツールを出し抜く方法をネット上で探すという。
「企業は顧客情報と知的財産を守ろうとしており、社員による侵害があまりにも多いことを懸念している」と語るコルテール氏の勤めるベリセプトは、WGIの社員がアクセスするオンラインコンテンツをビアンカレリ氏が監視するのを助けている。「社員がさまざまなサイトを閲覧するのを阻止するURLフィルタリング技術があるが、こうしたツールを出し抜く方法を社員に教えるWebサイトがある」(コルテール氏)
ワシントン・グループ・インターナショナル(WGI)はエンジニアリング/建設/マネジメントを主たる事業とする企業グループ。社員2万人を抱え、世界中に事務所を持っている同社のような規模の会社では常に、会社の方針で禁じられているWebサイトを見に行ったり、許可されていないプログラムを使おうとする社員がいる可能性がある。
同社のITセキュリティディレクターを務めるエド・ビアンカレリ氏は、P2Pの使用と、ポルノサイトやギャンブルサイトの閲覧を禁止する厳格なWeb使用ポリシーを定めている。社員がこのポリシーを破らぬよう侵入防止システム(IPS)アプライアンスを採用しているが、最強のセキュリティツールをもってしても、全社員にポリシーを遵守させるのは不可能だと分かった。
「当社はハイテク企業ではないので、社員がポリシーを出し抜く恐れはそれほど大きくはない。だが、許可されていないP2Pファイル交換とIM(インターネットメッセージング)の使用が行われた」(ビアンカレリ氏)
ビアンカレリ氏のようなIT専門家にとって、もう1つの問題は、社内でWebを閲覧する悪意はないと思われる社員が、セキュリティ保護プログラムを社員監視ツールと見なすことだ。セキュリティソリューション企業ベリセプトの上級副社長、ジョセフ・コルテール氏によると、こうした考えの社員は企業のセキュリティツールを出し抜く方法をネット上で探すという。
「企業は顧客情報と知的財産を守ろうとしており、社員による侵害があまりにも多いことを懸念している」と語るコルテール氏の勤めるベリセプトは、WGIの社員がアクセスするオンラインコンテンツをビアンカレリ氏が監視するのを助けている。「社員がさまざまなサイトを閲覧するのを阻止するURLフィルタリング技術があるが、こうしたツールを出し抜く方法を社員に教えるWebサイトがある」(コルテール氏)
同氏によると、そうしたサイトの1つは有名なBoingBoingブログだ。実際、BoingBoingには「検閲ソフトの破り方」の特集ページがある。
「もしあなたの会社もしくは非民主的で専制的な腐敗した政府がBoingBoing.netその他のサイトへのアクセスを阻止するフィルタサービスを使っていても」さまざまな回避手段がある、とこのブログには書かれている。そうした手段の1つはCircumventorというプロキシソフトで、このソフトを作ったのはピースファイアという「インターネット上の言論の自由について議論する18歳未満の人々の利益」を代表するグループだという。
「このソフトをPCにインストールし、人々があなたのプロキシを使ってWebにアクセスするのを助けたり、職場や学校からどんなWebサイトにでもアクセスできるようにしよう」とBoingBoingに書かれている。
ピースファイアのサイトとメーリングリストを運営しているのは、シアトル在住のフリープログラマー、ベネット・ヘイゼルトン氏。同氏はメールでの取材に対し、ピースファイアの目的は情報セキュリティを破ることではないと語った。実際、企業が遮断することを決めているサイトの幾つかは決して危険ではないという。
「BoingBoingに限って言えば、誰かのPCを害するようなところにわざとリンクすることは――少なくともユーザーへの警告なしには――まずない。また、BoingBoingからリンクされたURLはおそらく、完全無作為に選んだURLよりは安全だろう」(ヘイゼルトン氏)
それに、外部からの攻撃者が悪意あるWebページを使って、誰かのPC上で許可されていないプログラムを走らせようとしても、ほとんどの企業のファイアウォールがそれを阻止するだろう。さらに、企業はたとえ1台のPCが危険にさらされても問題にならない社内ネットワーク規制を設けるべきだし、「特別にアクセスを許されたアカウントを持つ社員以外は機密情報へのアクセスができないようにするべきだ」とヘイゼルトン氏は言う。
同氏は、スパイウェアなどを避けるための規則に従うよう十分教育された社員にのみ、機密情報へのアクセス権を与えるべきだと言う。
ヘイゼルトン氏は、ピースファイアは企業のセキュリティ管理の回避を支持しているわけではないと強調した。
「ピースファイアは主に抑圧された国々の若者や市民に対する検閲と戦っている。いずれにしても、そうした人々には選択肢がないからだ。だが、自分で就職先を選択するなら、その会社の規則に従うべきだ」(ヘイゼルトン氏)
しかし、たとえピースファイアのようなグループや企業の社員に悪気がなくても、企業のインサイダーが合法的なツールを悪質な目的のために使うリスクは常にあるとコルテール氏は言う。
「当社の顧客は自分の金銭的利益のために財産を盗もうとする社員がいることに気付いている。職場でも見たいWebサイトは何でも見られるべきだと思っている社員に言っておこう。自宅のPCはそのためにある」(コルテール氏)
Copyright © ITmedia, Inc. All Rights Reserved.