web-dev-qa-db-ja.com

Slackは、Mattermostなどの他の代替手段と比較して機密情報に対してどの程度安全ですか?

当社はSlackからMattermostへの切り替えのメリットを検討しています。

議論の1つは、「機密情報はサーバーに保存されるため、より安全でなければならない」というものです。

しかし、そうですか?

Mattermostはオープンソースであり、脆弱性はいつでも見つかり、悪用される可能性があります。 Slackはサーバーに情報を保存していますが、攻撃者がデータを見つけて評価し、有用であると見なさなければならないため、攻撃者がデータを正確に悪用する可能性は低くなります。そして、Slack全体でサーバーがハッキングされた場合、それは既知であり、損傷を制御する時間が残されます。

また、Slackは、ビジネスの成功と評判を確実にするためにセキュリティを最高レベルに保つためのすべてのインセンティブを持っています。

一方、プライベートのMattermostサーバーは保護が弱く、標的を絞った攻撃に備えることができます。その場合、攻撃者は情報をすぐに悪用して、被害を制御するための時間を空けることができます。

追伸これは、本質的に オープンソースシステムとクローズドソースシステム 質問の複製ではありません。上記の「重複する」質問のトップアンサーから引用すると、「これについて推論するには、議論を特定のプロジェクトに限定する必要があります。」これは、2つの特定のプロジェクトに関する質問です。

5
Harijs Deksnis

言及する価値があるいくつかの追加のポイントがあります:

短所

  • Slackチームはすべてのメッセージと会話にアクセスできるため、Slackチームを信頼する必要があります
  • 元従業員または第三者がSlackチャットにアクセスできないことを確認する必要があります(追加のロボットが必要です)
  • Slackサーバーは、制御できないセキュリティ設定(MDM以外のデバイスなど)を含む任意のデバイスから利用できます。この場所では追加の保護を使用できません(企業VPNなど)
  • Slackの場合、パスワードの強度とローテーションポリシーを適用できません。たとえば、企業のActive Directory認証システムとSlackをリンクできません。データが侵害された場合、ログなどがないため、インシデントの調査が困難になります。
  • 現在、Slack Enterpriseのバージョンはありません

長所

  • Slackは、セットアップと保守の方が安価です。
  • 新しいバージョンが表示され、開発者がプロ​​ジェクトのサポートを中止しないことが保証されます(オープンソースの世界で発生する場合もあります)。
  • Slackチームからテクニカルサポートを受ける
  • Enterpriseバージョンが表示され、一部のエンタープライズセキュリティ機能が含まれる可能性があります

私の意見では、Slackは小規模なチームや新興企業に適していますが、大企業の場合は、自分が管理できるものを選択する方がよいでしょう。とにかく、それはあなた次第です-リスクを評価し、あなたの状況で受け入れることができるものと受け入れられないものを見つけてください。

pdate:コメントで気づいたように、Prosのポイント2はかなり議論の余地があります。Googleリーダーに関するストーリーを思い出してください。

3
CaptainRR