web-dev-qa-db-ja.com

あなたの会社でのネットワーク監視ツールの使用に関する問題はありますか?

電気通信傍受法およびプライバシー法に関して、企業ネットワークでのネットワーク監視ツールの使用に関してどのような問題に直面しますか?

そして、これらの問題を軽減するためにどのようなポリシーを実装できますか?

5
CoderedTr

自分の従業員のネットワークトラフィックを監視することを考えている場合:

あなたができる最も重要なことは、彼らのコミュニケーションはいつでも会社による監視の対象であり、彼らのコミュニケーションにおいてプライバシーを期待してはならないことをユーザーに警告することです。

ネットワークに監視機能を組み込むことを考えている場合:

セキュリティリスクの1つは、監視機能により、攻撃者が許可なくトラフィックを盗聴する方法が提供されることです。監視機能は法執行機関による使用のみを目的としていることは知っていますが、監視機能をシステムに組み込むと、悪用される可能性があります。

このリスクの目を見張るような例として、アテネでのオリンピックの頃の2004年から2005年のギリシャのワイヤータッピング事件を読むことをお勧めします。 2005年に、ギリシャの通信事業者の監視システムが危険にさらされ、未知の外部機関の管理下にあったことが発見されました。外部機関は、監視機能を使用して、首相、国防大臣、外務大臣、国会議員など。盗聴機能はギリシャの法執行機関のみが使用するために構築されていましたが、他の誰かが制御しました。彼らは、侵害が検出される前に10か月間電話を盗聴しました。誰がそれをしたのか誰も理解していませんが、攻撃の巧妙さを考えると、外国のスパイ機関を疑うのは当然です。

ネットワークに監視を組み込むリスクの詳細については、次の記事をお勧めします。

4
D.W.

法務部門に確認してください。ただし、必要なのは、監視対象のユーザーに十分な通知を提供することだけです。これらは、ネットワークアクセスを許可する前に従業員と請負業者によって署名された利用規定内の通知、およびすべてのネットワーク機器とアプリケーションに何らかの形で実装された警告バナーの形式である必要があります。

フォームが何であれ、通知には次の点が含まれている必要があります。

  • アクセスされているコンピュータシステムは[XYZエンティティ]が所有しています。
  • コンピュータシステムは、許可された目的でのみ、許可された人が使用することを目的としています。
  • システムにアクセスするユーザーは、プライバシーを期待せずに監視することに同意します。
  • 不正使用は、懲戒処分および/または刑事訴追につながる可能性があります。

(私は弁護士ではなく、これは法律上の助言ではありません。)

4
Iszi