企業のセキュリティ、分析、ハードウェア管理ツールは、データを安全に保つために使用されるツールであり、顧客が考えるよりもはるかに多くの情報を収集し、共有しています。
顧客のネットワークを調査した分析会社ExtraHopのチームはそう述べている。その結果、多くの場合、セキュリティおよび分析ソフトウェアが、顧客に知られることなく、顧客のネットワーク外のサーバーに情報を密かにアップロードしていることがわかったという。
ExtraHopが本日発表したレポートでは、企業セキュリティツールが管理者に警告することなくデータを送信していた4つのユースケースが具体的に挙げられています。これらのユースケースには、エンドポイントセキュリティソフトウェア、病院向けデバイス管理ソフトウェア、監視カメラ、金融機関で使用されているセキュリティ分析ソフトウェアなどが含まれています。
いずれのケースでも、ExtraHop社はソフトウェアがデータをオフサイトに転送していたと述べています。一部のケース(病院のデバイス管理や金融機関の分析ツールなど)では、機密情報が第三者に漏洩することによる潜在的な法的リスクもありました。
「企業組織は膨大な量のデータをサードパーティベンダーに委託しています。SaaSアプリケーションなどの場合、企業データがサードパーティ環境内に保存されることは明らかです」とExtraHopの資料は説明しています。
「他の製品、特に企業のデータセンターやクラウド インフラストラクチャ内に存在する製品の場合、ベンダーが分析などのために自社環境に「電話」で送信するデータの正確な量は、はるかに不明確になることがあります。」
報告書は、データの収集と送信自体は、正しく、顧客の了承を得て行われる限り、違法または危険な行為ではないと指摘している。しかし、今回のケースでは、その危険な行為は明らかであった。
オランダ人、マイクロソフトに激怒、レドモンドのデータ吸い上げを理由にOffice Onlineとモバイルアプリからの撤退を求める
続きを読む
例えば、防犯カメラはマルウェアをホストしていると警告された中国のIPアドレスにデータを送信していたことが判明し、分析ソフトウェアは個人を特定できる情報を海外に送信することで米国グラム・リーチ・ブライリー法に違反した可能性があることが判明しました。別のケースでは、購入前に試用期間が終了したはずのソフトウェアが、その後少なくとも2ヶ月間情報を収集し続けていたことがスタッフによって発見されました。
ExtraHop は、これらのケースには悪意のあるアクティビティがない可能性もあるが、管理者がネットワーク上でデータを移動しているアプリケーションを監視し、実行中のソフトウェアとそれがアクセスしている情報を定期的に確認する必要があることを強調している、と指摘しています。
「誤解のないよう明確に申し上げますが、これらのベンダーがなぜデータを外部に持ち出しているのかは分かりません。これらの企業はいずれも定評のあるセキュリティおよびITベンダーであり、おそらく、アーキテクチャ設計上の正当な目的のためか、設定ミスによるものかのいずれかでしょう」と報告書は指摘しています。
「しかし、顧客の知らないうちに、あるいは顧客の同意なしに、大量のデータが顧客環境からベンダーに送信されるという事実は問題です。」®
