web-dev-qa-db-ja.com

内部のHRサイトがHTTPで実行されることは許容されますか?

個人の詳細、給与明細、休暇の詳細などが記載された社内HRサイトは、基本的なhttpサイトから完全に実行されます。サイトは企業ネットワーク内でのみアクセス可能であり、アクセスすることはできません。自宅の従業員による(VPNを除く)。 can内部Wifiネットワーク経由でアクセスできます。

Httpsはネットワークセキュリティのすべてではなく、すべてではないことを知っていますが、これは「大丈夫」ですか?

これは小さな会社ではありません-数十万人を雇用している英国の上場大手企業です。今年はシステム全体の第1四半期を置き換えることを意図していたので、私は何も言わずに済ませていましたが、現在は2018年に差し戻されています。

理解する熱心さ

  1. この設定による重大なリスクがあるかどうか
  2. これに関連して英国/ EUの法律に違反する可能性があるかどうか(例:英国データ保護法)
  3. 特定の手順がある場合、私は個人が(サイトを使用しない以外に)傍受される可能性を最小限に抑えるために行うことができます。

ネットワークは有線と無線の混合です。サイトには内部的に、またはVPN経由でのみアクセスできます。

37
aldredd

HTTPSの主な動機は、攻撃者がWebサイトとの通信を読み取って操作するのを防ぐことです。したがって、内部サイトに展開するかどうかの決定は、誰かが会社のネットワーク内のトラフィックを改ざんするリスクがあるかどうかによって異なります。

内部HRサイトが、企業のイントラネットの誰もがすでにアクセスできる静的コンテンツを提供しているだけの場合、内部ネットワーク内のそのページへのトラフィックのインターセプトは無意味であるため、HTTPSはセキュリティを追加しないと主張できます。

ただし、サイトがログインシステムを使用していて、従業員が内部ネットワークに干渉しないと信頼されていない場合、またはゲストがアクセスを許可されている場合、サイトは常に安全な接続を介してアクセスする必要があります。

これは、ログインするサイトです(パスワードを使用して、最大8つの小文字のみを保持することを強制されます)。ここでは、賃金伝票、個人の住所/連絡先の詳細などを表示できます。

それが心配です。 人工パスワードの長さ制限 が本当に低く、小文字のみの制限が問題であるだけではありません。サイトがプレーンHTTPを使用している場合、悪意のある同僚(またはマシン上のマルウェア)がページへの接続を傍受し、パスワードを盗聴し、そのサイトとのやり取りを記録する可能性があります。大企業だと言っているので、それにアクセスする全員が完全に信頼されているとは限らないため、HTTPSの導入を検討する必要があります。

43
Arminius

いいえ、これは安全ではありません。あなたはそれが小さな会社ではないと言っていました。つまり、おそらくすべての人が完全に信頼しているわけではありません(10人を超える従業員にとってはかなり不可能です)。また、さまざまな人が会社に入ってきてかなり離れているというポジションもあるでしょう。頻繁に。たぶん、ほんの数週間の実務経験、夏の仕事、またはそれに似たものです。

それらの人々は、自分がアクセスできるITシステムを操作しないと信頼することはできません。暗号化されていないデータをイーサネット経由で送信すると、その間の誰もがそれを読み取ることができます。

チャレンジ/レスポンス認証ではなく、パスワードを使用します。これは、トラフィックを操作したりパケットを傍受したり、操作後にそれらを送信したり、以前にサーバーに送信したことがあるパケットを操作した後で、同じパケットを再度送信できることを期待する複雑な攻撃がないことを意味します(そのため、サイトを使用する人は彼らはサーバーからの応答を受け取るのでtに注意してください)。代わりに、トラフィックを記録し、後で分析してパスワードを取得し、パスワードが変更されてトラフィックを再度記録する必要があるまで、HRサイトにアクセスできます。

イントラネット内からの操作が可能な場合、遅かれ早かれ誰かがそれを行うでしょう。次のことができる場合、人々は公式発表を行うことさえします。

この場合、従業員は次のメッセージで会社のイントラネット歓迎ページを変更しました:「2008年第1四半期の終わりまでにウォーターフォード工場で500の仕事がなくなる」。

http://www.cpaireland.ie/docs/default-source/media-and-publications/accountancy-plus/it/email-and-internet-use-by-employees.pdf?sfvrsn=2

インターネットにはたくさんのレポートがあります(たとえば http://www.askamanager.org/2014/02/ive-been-breaking-into-my-companys-computer-network.html )。人々は彼らが弱いセキュリティ対策を破っていることを認めます。これは悪意がある必要さえありません。それは退屈、好奇心から生じる可能性があります(あなたの会社の場合:スミス氏は本当にを作りすぎて、3台の素敵な車を買う余裕がありますか?) 、セキュリティの壁を破壊することで生産性を向上させることさえできます。

これに似た多くの推奨事項があります。

すべての雇用主は、会社のコンピューターの使用、およびコンピューターでアクセスされるリソース(電子メール、インターネット、会社のイントラネットがある場合)の使用に関する詳細なポリシーを持っている必要があります。

http://www.twc.state.tx.us/news/efte/monitoring_computers_internet.html

もちろん、コンプライアンスが強制されなければ、それはほとんど価値がありません。また、トランスポート暗号化は一切使用されず、パスワードもプレーンテキストで送信されるため、社内での接続は可能な限りオープンになります。ポリシーを実施する最良の方法は、それを無視することを不可能にすることです。もちろん、それが常に可能であるとは限らず、より良い方法がある場合もありますが、この場合、これが最も簡単で最良の最も信頼できる方法であるように思われます。

この警告はあなたの会社が直面しているものに非常に近いです:

企業は、HIPAA regの危険にさらされないようにすることに加えて、別の重要なイントラネットセキュリティ問題である内部違反に焦点を当てる必要があります。インターネットセキュリティの専門家であるTatum CIO PartnersのメンバーであるNorbert Kubilus氏は、ほとんどの場合、イントラネットの「ハッカー」は会社に不便をかけたり個人的な利益を得ようとする不幸な従業員であると述べました。

「私が聞いて観察したことのほとんどは内部虐待だ」とクビラス氏は語った。 「イントラネットに侵入し、休暇のスケジュールやタイムカードを変更することで大混乱を起こす不満の従業員を得ることができます。適切な保護が適切に行われていない場合、または適切な教育とプロセスが行われていない場合、不満を持つ従業員。」

http://www.techrepublic.com/article/intranet-data-requires-a-good-security-review/

リスクのあるデータが非常に重要であると考えると、これは許容できないリスクであることは明らかです。会社の所在地によっては、サイトをそのように運営することも違法となる場合があります。安全性の低い個人データが含まれているためです。

これが違法であることを経営陣に告げると、システムが安全でないと告げるよりも、セキュリティが向上する可能性が高くなります。

英国の法律については知りませんが、EUの法律ではそのようなシステムは絶対にあり得ないため、英国の法律では認められないと思います。

簡単な検索の結果、 このEU規制 が見つかりました。違法であることを期待できる第32条の引用:

最先端の技術、実装のコスト、処理の性質、範囲、コンテキスト、目的、および自然人の権利と自由に対するさまざまな可能性と重大度のリスクを考慮に入れて、コントローラーとプロセッサーは実装する必要があります。とりわけ適切な場合を含め、リスクに適切なレベルのセキュリティを確保するための適切な技術的および組織的対策:

[...]

(b)処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を保証する機能。

ラップトップがサーバーとHRコンピューターの間にあるようにイーサネットケーブルを接続する方法についての10分間のYouTubeビデオを見た後、会社の全員がHRサイトにアクセスできる場合、機密性も完全性も保証できません。 Wiresharkを使用して、ネットワーク経由で送信されたパスワードを取得する。もちろん、Wiresharkで遊んだことのある人なら誰でも、最初にYouTube動画を15分も見て無駄にすることなくそれを行うことができます。 ;-)

11
UTF-8

HTTPSの欠如により、同じネットワーク上の攻撃者がこのサーバーへの接続をリッスンし、要求と応答を変更することが可能になります。これは、たとえば、人事担当者が使用しているパスワードを盗聴するために使用できます。

「同じネットワーク」が正確に何であるかは、ネットワーク構成と、攻撃者がネットワークに投入しようとする意欲のある作業に依存します。会社のコンピューターから攻撃を実行できる可能性が高いです。時々、会社のWiFiを使用して、駐車場から中間者攻撃が可能です。

1
Sjoerd

HTTPとHTTPSにはさまざまな問題があり、内部ネットワーク上にあると問題が軽減されます。

  • 強力なサーバー識別はありません。内部ネットワークでは重要ではないため、内部ネットワークに偽のサーバーが存在する可能性はほとんどありません。通常、このようなMITM攻撃には管理者権限が必要です。企業組織では、すべてのネットワーク機器とクライアントマシンを管理しているため、管理者を信頼する必要があります。
  • 許可された従業員による要求への応答の機密性:すべての許可されたアクセスがすべて同じオフィスからのものか(同等のアクセス許可を持つ管理者または同僚のみがスパイ(*)できるようにする必要があるか)、またはマネージャーが要求を実行できるかどうかによって異なります。後者の場合、機密データが傍受されるリスクは重要ですが、(内部の)攻撃者は、どのような情報を取得するかを事前に知ることはできません。
  • 資格情報の保護:認証手順でもプレーンHTTPを使用する場合、問題はさらに深刻になります。その場合、攻撃者は資格情報を取得し、正当なユーザーに代わってリクエスト(変更を含む)を発行できる可能性があります。機密性について言及していない完全性は保証されなくなります

もちろん、それが読み取り専用サーバーであり、機密性が本当に問題にならない場合は、HTTPを使用できます。しかし、HRについて話すとすぐに、機密性はすぐに中から高レベルに上がるはずです。


(*)一般的な企業ネットワークでは、スイッチとプロキシを使用すると、ドメインの暗号化されていないトラフィックをすべて見ることができるネットワーク管理者を除いて、同じサブネットでの交換のスパイのみが可能になります。

1
Serge Ballesta

いいえ、これは絶対に容認できず、管轄区域によっては刑事責任の点で違法となる場合があります。

ほとんどの国では基本的に、機密の個人データ(およびほとんどの場合、その記録はそのカテゴリに分類されます)は「適切な技術的手段」で保護する必要があるとしています。

その用語の正確な意味は意図的に解釈に開放されていますが、裁判所は通常、容易に入手可能で一般的であり、データを保護する目的に役立つテクノロジーとして解釈します。言い換えれば、新しいセキュリティを発明する必要はありませんが、他の人が使用する簡単で既成のセキュリティ対策があり、それを使用しない場合、データを適切に保護できていません。

HTTPSは非常に一般的であり、通常はまさにそのような目的で使用されます。使用しないことは、かなりの過失である可能性が非常に高いです。管轄区域内のより具体的な法律によって、これがさらに高くなる場合があります。

0
Tom

私たちは人事について話しているので、人事は通常給付を管理しているため、HIPAAに準拠していない可能性があります。

つまり、SSLおよびTLSの使用は、NIST 800-52で規定されている詳細に準拠する必要があります。これは、他の暗号化プロセス、特にこの資料で推奨されているものよりも弱いプロセスは無効であることを意味します。

リンク

0
John Wu

明らかにそれは素晴らしいアイデアではありませんが、ネットワーク構成全体に依存するifとbutはたくさんあります。

悪意のある管理者が信頼できる証明書をすべてのマシンにインストールし、とにかくすべてのトラフィックを傍受する可能性があることを指摘する価値があります。悪意のある管理者を阻止するためにできることはほとんどありません。

法的な観点から、会社はあなたのデータを保護するために合理的な手順を踏まなければなりません。夏のインターンが自分のラップトップを接続することによって転送中のデータを傍受できる場合、彼らは法的責任を果たしていません。熟練したペンテスターが教師なしの物理的なアクセスを必要とする場合、おそらくそうです。

0
ste-fu