web-dev-qa-db-ja.com

Dropboxを使用する従業員にはどのようなセキュリティリスクがありますか?

Dropboxのファイル共有/バージョン管理/バックアップを会社全体で使用する際に留意すべきセキュリティ上の懸念はありますか?リスクを制限するために推奨される特定のオプションや設定はありますか?

17
davebug

それはあなたのビジネスとあなたのパラノイアのレベルに依存します。 VPN接続を備えたラップトップを発行する方が、費用はかかりますが、はるかに安全です。

本当に速い...

いくつかのリスク:

  • 元従業員は、雇用が終了した後、ビジネスデータにアクセスできる可能性があります。あなたが解雇された後に不満を持つ従業員が物事にアクセスできないようにしたい場合は、ビジネスとしてのあなたがアカウントを管理している必要があります...
  • これらのサービスは、自動化されたドキュメント保持メカニズムをバイパスし、ドキュメント保持のために手動でカバーする別の領域を追加します

推奨事項:

  • データを格納するための独自の暗号化キーを生成できること、およびキーがサービスプロバイダーと共有されていないことを確認してください
  • データがサービスのリポジトリに送信される前に、データが暗号化されていることを確認してください
  • 個人が自分のアカウントを持つことを許可する場合は、会社の単一の窓口を用意してください。この人(またはプロキシとしての数人)を介してすべてのアカウントを調整します。または、プロバイダーが、どういうわけか従業員をグループ化できるビジネスアカウントをサポートしていることを確認してください。
7
squillman

私はここをとても注意深く踏みました。 Dropboxを使用すると、別のコンピューターのハードドライブを拡張できます。

この拡張機能は、1つのPCでの感染がUSBキーを使用するよりもはるかに簡単に共有を使用する他のすべてのPCに感染する可能性があるという意味で、USBキーよりも悪いです。ウイルス/トロイの木馬/ボットの作成者は(まだ)Dropboxをターゲットにしていませんが、そうすることを決定した場合、安全なネットワーク上の会社が管理するPCから安全でないネットワーク上の安全でないコンピューターへの仮想ロック解除ドアを手に入れます。そのまま、通常の操作を使用して、そのドアを通過してコンピューター上の他のものを見ることはできません-ドロップボックス内のアイテムのみが表示され、そのエリアでのみ新しいアイテムを作成できますが、それはDropboxアプリケーション自体は危険にさらされません。

さらに、Dropboxはかなりのセキュリティを主張していますが、実際にあなたに証明できるものは何ですか?誰かが完全に別のPCからリモートでそのウィンドウに侵入し、感染したドキュメントやプログラムを職場のPCに配置しようとする可能性があります。

Dropbox自体がクライアントとの通信に使用するプロトコルは明らかにあります-暗号化されていますか?バッファオーバーフローの影響を受けませんか?中間者攻撃?スニッフィング?リプレイ攻撃?標準プロトコルを使用して、ファイルを標準ドロップボックス領域の内部または外部に配置することは可能ですか?プロトコルにバッファオーバーフローがある場合、マシンへのフルアクセスを許可する方法でそれを危険にさらすことは可能ですか?マシン上のネットワーク共有?

リスクはそれほど高くないと思いますが、被害は広範囲に及ぶ可能性があるため、慎重に検討する必要があります。

-アダム

5
Adam Davis

パラノイア????

おい..ネットワークから離れて..ゆっくり..キーボードから手を離して..今すぐやってみよう!!!

Dropboxのようなファイル共有クラウドベースの「コンシューマー」ソリューションは、ビジネスや企業向けではありません。マイクロソフトは、Skydriveが発表されたときにそれを最もよく述べ、これらの種類の製品はビジネス目的で使用するべきではなく、使用すべきではないと述べました。

それが人がすべき理由を上回らない理由は何千もあります。

最大[〜#〜] legal [〜#〜]セキュリティリスク外の理由(およびサードパーティが機密情報にアクセスできることを指定する利用規約したがって、ファイルは機密情報を消費者ベースのサービスに保存するべきではありません。.)は、Dropboxなどのサービスの事実です。質問させてください。これらのファイルはどこに保存されていますか?それらのサーバーはどこにありますか?安心してご安心ください。最低価格の入札者は、データエクスポートルールと法律と呼ばれるものを呼び出すことができます。「米国政府が米国のセキュリティに対するリスクまたは潜在的なリスクと見なす可能性がある」という小さなファイルが1つある場合は、公共の集まりの場所、学校、ジム、パスワード、またはエクスポートされた制限付きソフトウェアなどをダウンロードできるシスコアカウントなどのユーザー名に分類されたドキュメントまでの電気レイアウトと同じくらい小さい場合、その法律に違反しています。あなたは刑務所に行き、あなたは合格しないでください。私は今、FTC and Homeland Security。

DBの利用規約では、(基本的に)ビジネスPCにインストールされている場合(Dropboxは、ビジネスPCにインストールしている人がTOUをクリックすることでユーザーが保証するため、その人であると見なします)、「承認された」個人がそうしていることを指定しています会社全体..期間...(最初のセクションion Dropbox.com/terms)

私のサーバーと作業環境の外でこれを使用することを妨げているのは、単に倫理です... Skydriveのような消費者向け製品で、大文字で「ビジネスはありません...しないでください。顧客のデータを危険にさらしたくないためです。彼らはそれがリスクであることを知っているので、ビジネスレベル!そして、Flippin Dropboxは、契約の中で「単語」などの合法的な単語を使用します。利益を失い、その価値を共有するには?おそらくそうではない...)...

それは大したことです。セキュリティグループがあなたと私に簡単な習慣に従うように頼むほど、Dropboxのような大きなコンプが出てきて、お金のために..利益のために、大したことのないように行動します...

あなたの会社が単一のクレジットカード番号と名前と有効期限のごく一部を保存している場合はどうなりますか? DropboxクライアントがインストールされたPCが、Dropboxのセキュリティ違反により「侵入」されたと言ってください。 Visa/Amexなど。政府の支援を受けた途方もない銀行会社(Payment Card Industry(PCI)規格がそう言っているので..それが誰なのか...)これはあなたに罰金を科します...これを取得します...座ってみたいかもしれません。インシデントあたり驚異的な$ 500,000.00 ...中小企業が彼らがいるビジネスから取り除くのに十分です...

これを回避する唯一の方法は、PCI認定の暗号化製品を使用してそのデータをローカルで暗号化することです。これは、Dropboxに移行する前に、すべてのリモートデバイスのライセンスを購入し、必要なファイルをダウンロードして、使用前に暗号化を解除することです。 it ..(いや、まったく面白くないように聞こえない...)(または、サーバーネットワーク上のデータとゲートウェイのクライアントを暗号化する...)

これらすべてにより、ユーザーあたり20ドル未満(基本的なプランの場合は約11ドル)で、Office365 Eシリーズプランを入手できます。これは、IS HIPAA、SOX、ISO、およびPCI認定済みです。( Dropboxは、ページに隠されており、「現時点では」と明記されていますが、そうではありません...)

だから、あなたの心は小さいけれど、自分自身に問いかけてください...それは実際にリスクに見合う価値があるのでしょうか?そして、あなたが私が考える製品とビジネスをしたいと思っていますか?.

あなたがテクノロジーに従事していて、あなたがブリーチされて、あなたがDID許可ドロップボックスを許可する場合)あなたのキャリアへのリスクの価値はありますか?あなたはあなたの名前が銃尾の横にあり、あなたがニュース?CTOとして、私はあなたに約束することができます。私の人生ではなく、その背後にある言い訳すら聞こえないでしょう。自分の行動や決定によって、あらゆる規模のネットワークでデータ漏えいを引き起こしたテクノロジの誰にもインタビューすることはありません。 ..はい、私たちはすべて間違いを犯します。そのため、ITにおけるあなたの仕事は、リスクをできるだけ大きく、またはできるだけ小さくすることです。ワームの穴を開いてアリスに悲鳴を上げないでください...)これは、PRにとって災害です。 ..ビジネスの場合(競合他社があなたのことを知り、漏らした場合..(あえぎ)あなたがしたこと..そして、彼らがPCIではないことを公に認めて述べたファイル共有サービスを許可したため、誰かを雇う責任が増加した、SOX、ISO、HIPAA、またはPCI認定

まあ..それはあなたが決めることです...それはキャリアの価値がありますか?会社や顧客のデータを失う価値はありますか?

私にとって..それはそうではありません...消費者はビジネスではなく消費者向け製品を使用しています...期間。

5
Ageek Bry

更新(1.5年後):Dropboxは、SSLプロトコルを介してデータを送信し、AES-256-Containersに保存すると主張しました(パスワードなしで)。

4
user57104

Dropboxは最近、モバイルクライアントとサーバー間のファイルメタデータの転送にSSLを使用しないことを認めています。パフォーマンス上の理由から、これは意図的に行われます。彼らはウェブサイトのどこにもこれを行っているとは述べていません。あなたはそれについてここで読むことができます:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

4
Mike

彼らは企業が内部で使用できるバージョンを開発しており、セキュリティが強化されていると思いますが、その間、ファイルはサーバー上で暗号化されていないため、信頼する必要があります。

それ以外には、Dropboxに固有の他のセキュリティリスク(情報漏えいなど)は見られません。

2
Ivan

多くのことがあなたの会社で実施されているポリシーに依存します。私が働いているような、つまり私ではなくすべての開発が病院に属しているような場合は、会社の知的資産が「迷子」になる簡単な手段になるのではないかと心配になります。

内部または監視可能な接続を介してのみアクセスできるものを設定できるドキュメント管理システムはたくさんあります。

1
AnonJr