web-dev-qa-db-ja.com

組織内のクライアントPCでのDropboxインストールの許可に関するセキュリティの問題

クライアントPCにDropboxのインストールを許可しない正当な理由があるかどうか誰かが知っていますか?すべてのPCにアンチウイルスがインストールされ、実行されています。これはファイルの拡散に対する追加の攻撃ベクトルであることはわかっていますが、特に心配している種類のリスクは、ファイルの同期による自動拡散です。

Dropbox上の潜在的なウイルスは、ファイルがクラウドにあると、クライアントに同期され、自動的に広がる可能性があるため、簡単に広がる可能性はありますか?この種の拡散を防ぐためのセキュリティメカニズムはありますか?

ユーザーがファイルを開いたときにファイルが感染する可能性があることは考慮していません。これらの種類のリスクは、ファイル共有を許可する他のすべてのアプリケーション(メール、USBドングルなど)ですでに考慮されています。

私が特に心配している種類のリスクは、ファイルの同期による自動拡散です。

malwareknown-vulnerabilitiesvirus
8
Chris Dale

クライアントPCにDropboxのインストールを許可しない正当な理由があるかどうか誰かが知っていますか?

これは、リスクを受け入れる意思、格納/処理またはその他の方法で管理するデータの分類(感度)や、たとえばユーザーの生産性向上の可能性など、多くの要因に依存します。

Dropboxには、 thisand this などの機密性に関連する多くの問題があり、データがサーバー側で暗号化されているという事実があります。 Dropboxの使用については賛否両論がありますが、常にリスクを受け入れ、それによってセキュリティを犠牲にして利便性を高めようとする意思は常に重要です。

Dropbox上の潜在的なウイルスは、ファイルがクラウドにあると、クライアントと同期され、自動的に拡散する可能性があるため、簡単に拡散できますか?

そのとおり。以前のバージョンのMS Officeドキュメントでは、デフォルトでマクロが有効になっており、多くのワームが拡散対象をターゲットにしていました(ただし、このバージョンでは、最新バージョンでは大幅に改善されています!)。

ただし、ワームやトロイの木馬は、Dropboxのファイル共有を利用するために特別に作成される可能性があります。 (何らかの理由で)実行されると、コンピューターをスキャンしてDropboxフォルダーを探し、ファイルを置き換え、名前を変更するか、その他の方法でユーザーが実行する可能性の高い場所に自分自身を配置します。これは明らかに、コンピューターやネットワークとの間でマルウェアを拡散させる優れた方法です。

この種の拡散を防ぐためのセキュリティメカニズムはありますか?

拡散の意味にもよりますが、会社が管理しているコンピューターの1つからのWindowsバイナリの実行について話していると思います。そうです、そうする方法はいくつかあります。 Windows 7 applockerを使用すると、実行を許可するアプリケーションを制限したり、アプリケーションを使用して「新しい」実行可能ファイルを監視し、それらを削除したり、隔離したり、必要と思われるアクションを実行したりできます。

さらに、私たちの古き良き友人のAVは、製品による適切なカバレッジを想定して、Dropboxフォルダーに到達した古いマルウェアをキャッチします。最も人気のあるAV製品が最悪であることを示しているように見える統計があることを知っていますが、最高のものもすばらしくありません。 (本当に新しいことはありません!)

Dropboxを許可することによる明らかな問題の1つは、会社の資産と私有の資産の区別を明確にすることです。ユーザーが自分のプライベートコンピューターでもDropboxを使用することは避けられないため、会社のデータはユーザーが制御できないプライベートコンピューターに保存されます。

ただし、これもまた、リスクを受け入れるかどうかにかかっています。脅威は明確に識別されており、各脅威に関連するリスクを計算し、定量化されたリスクのリストを提供することは、かなり簡単な作業です。特に懸念していることに関連するいくつかのリスクの可能性を減らすために実装できる技術的な保護手段もあります。

ただし、マルウェアの拡散を最優先事項とすべきではないと私は主張します。代わりに、プライベートデータ資産と会社所有データ資産を明確に区別する方法に焦点を当てるべきです。これは、企業のコンピュータと家庭のコンピュータの間であらゆる種類のファイル同期製品またはサービスを使用する際の本当の頭痛の種です。情報開示に関する懸念にも対処できる製品がありますが、私は余談です。

おそらく、必要なセーフガードを実装するコストを回避するために、これらのリスクを受け入れる用意があるでしょうか?

6
Christoffer

確かに、Dropboxのようなファイル共有サイトを許可すると、ユーザーがDropboxを使用できるようになれば、自宅のPCがエンタープライズPCほど保護されないことがほぼ確実になります。そのため、被害を最小限に抑えるために実際に導入したすべての保護手段...コンテンツの監視やフィルタリングなどはほとんど役に立ちません。

しかし、専有の機密情報の漏洩の可能性には、より大きな問題があります。一般的なウイルスよりも心配です。 Dropboxが必要だと思うユーザーがいる場合は、その理由を理解し、会社が承認および管理するソリューションに立ち向かいます。

5
M15K

Dropboxを使用してファイルを広く共有することにはいくつかのリスクがありますが、これには利点もあり、これらを前後関係に保つことが重要です。

主なリスクは、機密文書の漏洩です。ユーザーがDropboxに多くの機密ドキュメントを保存し、多くのマシンからそれらにアクセスする場合、それらの機密ドキュメントのコピーが(たとえば、ユーザーの自宅のマシン上にあり、おそらく安全性が低い)浮かぶ可能性があります。また、ユーザーが不適切なDropboxパスワードを選択すると、誰かが自分のDropboxファイルにアクセスして機密データを盗む可能性があるというリスクもあります。そのため、Dropboxのようなファイル転送ソフトウェアが広く使用されるようになると、機密データの管理に対する課題が増大します。ただし、これらのリスクは、ほとんどの場合、ポリシーによって管理できます。たとえば、機密性の高いデータ/ドキュメントをDropboxに配置することをユーザーに禁止するポリシーを設定します。

別のリスクについて質問しました。ユーザーの作業マシンが、Dropboxアカウントに保存されているファイルの1つに含まれるウイルスに感染するリスクです。個人的には、これについて心配する必要はありません。それは大きなリスクではないと思います。すべての作業マシンにウイルス対策ソフトウェアがインストールされていると仮定すると、AVソフトウェアは、Dropboxを介してそれらのファイルを取得した場合でも、ユーザーがアクセスするファイルで検出されたウイルスを検出します。したがって、これについては心配しません。

Dropboxの禁止にはリスクがあります。 1つのリスクは、生産性の損失です。もう1つのリスクは、ポリシーが十分に根拠がないと思われる場合に、IT部門への敬意を失うことです。 IT部門がテクノロジーを過度に制御し、不注意に禁止しているという評判が高まるほど、ユーザーがITセキュリティポリシーに協力する可能性が低くなり、ユーザーがポリシーを回避する方法を探す可能性が高くなります。これは、Dropboxを禁止することによるリスクの軽減よりも、全体的な害を引き起こす可能性があります。 IT部門が不合理に行動し、すべてのリスクを回避しようとするときに、リスク管理の観点からアプローチする必要があるときに、多くの人々が不満を感じると思います。 Dropboxの禁止が組織で本当に正当化されるかどうか、Dropboxからの真のリスクレベル、組織に適したセキュリティ体制とリスク許容度を評価する必要があります。

また、@ M15Kの別れのアドバイスを2番目にしたいと思います。 Dropboxが組織にとって許容できないリスクであると思われる場合は、@ M15Kのアドバイスは優れています。

5
D.W.

Dropboxのようなファイル共有クラウドベースの「コンシューマー」ソリューションは、ビジネスや企業向けではありません。マイクロソフトは、Skydriveが発表されたときにそれを最もよく述べ、これらのタイプの製品はビジネス目的で使用するべきではなく、使用すべきではないと述べました。

なぜそうすべきなのかを上回る数千の理由があります。

最大[〜#〜] legal [〜#〜]セキュリティリスク外の理由(およびサードパーティが機密情報にアクセスできることを指定する利用規約したがって、ファイルは機密情報を消費者ベースのサービスに保存するべきではありません。.)は、Dropboxなどのサービスの事実です。質問させてください。これらのファイルはどこに保存されていますか?それらのサーバーはどこにありますか?安心してご安心ください。最低価格の入札者は、データエクスポートルールと法律と呼ばれるものを呼び出すことができます。「米国政府が米国のセキュリティに対するリスクまたは潜在的なリスクと見なす可能性がある」という小さなファイルが1つある場合は、公共の集まりの場所、学校、ジム、パスワード、またはエクスポートされたソフトウェアをダウンロードできるシスコアカウントなどのユーザー名に分類されたドキュメントまでの電気レイアウトと同じくらい小さい場合、その法律に違反しています。あなたは刑務所に行き、あなたは合格しないでください。私は今、FTC and Homeland Security。

DBの利用規約では、(基本的に)ビジネスPCにインストールされている場合(Dropboxは、ビジネスPCにインストールしている人がTOUをクリックすることでユーザーが保証するため、その人であると見なします)、「承認された」個人がそうしていることを指定しています会社全体..期間...(最初のセクションion Dropbox.com/terms)

私のサーバーと作業環境の外でこれを使用するのを妨げているのは、単に倫理です... Skydriveのような消費者向け製品で、大きな文字で「ビジネスはありません...しないでください。顧客のデータを危険にさらしたくないためです。彼らはそれがリスクであることを知っているので、ビジネスレベル!そして、Flippin Dropboxは、契約の中で「単語」などの合法的な単語を使用します。利益を失い、その価値を共有するには?おそらくそうではない...)...

それは大したことです。セキュリティグループがあなたと私に簡単な習慣に従うように頼むほど、Dropboxのような大きなコンプが出てきて、お金のために..利益のために、大したことのないように行動します...

あなたの会社が単一のクレジットカード番号と名前と有効期限のごく一部を保存している場合はどうなりますか? DropboxクライアントがインストールされたPCは、Dropboxのセキュリティ違反により「侵入された」と言われました。 Visa/Amexなど。政府の支援を受けた巨大な銀行会社(Payment Card Industry(PCI)規格がそう言っているからです。それが誰なのかです...)罰金を科します。これを取得します...座ってみたいかもしれません。インシデントあたり驚異的な$ 500,000.00 ...中小企業が彼らがいるビジネスから取り除くのに十分です...

これを回避する唯一の方法は、PCI認定の暗号化製品を使用してそのデータをローカルで暗号化することです。これは、Dropboxに移行する前に、すべてのリモートデバイスのライセンスを購入し、必要なファイルをダウンロードして、使用前に暗号化を解除することです。 it ..(いや、まったく面白くないように聞こえない...)(またはサーバーネットワーク上のデータを暗号化し、ゲートウェイでクライアントを暗号化する...)

以上のことで、ユーザーあたり20ドル未満(基本的なプランの場合は約11ドル)で、Office365 Eシリーズのプランを入手できます。IS HIPAA、SOX、ISO、およびPCIの認定を受けています。(そこに隠されているDropboxには、「現時点では」と明記されていますが、そうではありません。

だから、自分の心のなかで小さなことを自問してみてください...それは実際にリスクに値するのでしょうか?そして、あなたが私が考える企業とビジネスをしたいのですか、彼らの製品を使用することに関連するリスク....

あなたがテクノロジーに従事していて、あなたがブリーチされて、あなたがDID許可ドロップボックスを許可する場合)あなたのキャリアへのリスクの価値はありますか?あなたはあなたの名前が銃尾の横にあり、あなたがニュース?CTOとして、私はあなたに約束することができます。私の人生ではなく、その背後にある言い訳すら聞こえないでしょう。自分の行動や決定によって、あらゆる規模のネットワークでデータ漏えいを引き起こしたテクノロジの誰にもインタビューすることはありません。 ..はい、私たちはすべて間違いを犯します。そのため、ITでのあなたの仕事は、リスクをできる限り大きくまたは小さくすることです。ワームの穴を開いてアリスに悲鳴を上げないでください...)これは、PRにとって惨事です。 ..ビジネスの場合(競合他社があなたのことを知り、漏らした場合..(あえぎ)あなたがしたこと..そして、彼らがPCIではないことを公に認めて述べたファイル共有サービスを許可したため、誰かを雇う責任が増加した、SOX、ISO、HIPAA、またはPCI認定

まあ..それはあなたが決めることです...それはキャリアの価値がありますか?会社や顧客のデータを失う価値はありますか?

私にとって..それはそうではありません...消費者はビジネスではなく消費者向け製品を使用しています...期間。

0
Ageek Bry