多くの中小企業では、ITスタッフは一人、あるいは社内のコンピュータシステムの保守管理を任されたコンサルタントしかいません。いずれにせよ、IT担当者が会社の内部事情についてどの程度知っているかを尋ねることは、非常に価値のあることです。なぜなら、IT担当者は、あなたが想像する以上に、会社、従業員、そして個人情報について詳しい情報を持っている可能性があるからです。
サーバールームやサーバークローゼットを見てみると、白、グレー、黒の箱が山積みで、たくさんの配線と点滅するライトが目に入るでしょう。もし、ある箱がインターネット接続に出入りするあらゆるデータ(通話、ビデオチャット、AIMメッセージなど)を密かに監視していたら、そのハードウェアを特定できるでしょうか?もしそれが家庭用DSLルーターに使われているような壁コンセント型電源くらいの大きさだったらどうでしょう?もし、サーバールームではなく、天井タイルの上に隠れていたらどうでしょう?
IT担当者にとって、朝出勤して小型のポータブルハードドライブやSDカードを小さな組み込みシステムに接続し、ネットワーク上を移動するすべてのデータ(あるいはインターネットトラフィックだけ)をパケットキャプチャし、そのデータを1日の終わりにポケットに入れるのは簡単です。自宅では、ITスヌープがネットワークを通過したすべてのデータを再構築し、時間と意欲が許す限り精査することができます。
機密性の高いインターネットトラフィックを盗聴や再構成から守る数少ない方法の一つは、SSLで保護されたウェブサイト、特にログイン情報を利用することです。日中にhttp://somewebsite.comにアクセスしてログインした場合、ネットワークを覗き見している誰かにユーザー名とパスワードを知られてしまいます。https ://somewebsite.comを使用する場合、またはサイトがSSL経由でのログインを強制するほど高度な機能を備えている場合、これらの情報は暗号化されます。しかし、他の多くのインターネットアクティビティにはSSLオプションがないため、依然として監視の目にさらされています。
あなたが昼食中にIT担当者があなたのPCをいじっていると、ソフトウェアまたはハードウェアのキーロガーを簡単にインストールされ、あなたが入力したすべての文字を様々な方法で記録し、転送されてしまいます。このような盗聴を阻止できる暗号化技術は存在しません。
本物
これらの単純な手法を用いることで、悪意のある熟練したITプロフェッショナルは、ネットワークを通過するあらゆるトランザクションのデータを容易に収集できます。実際、同じデバイスで、パスワード保護の有無にかかわらず社内のファイル共有から、社外の誰かが関心を持つキーワードやメールメッセージを探し出すコードを実行することも可能なのです。
ところで、あの天井タイルについてですが、もしそこにSSIDが隠されたWi-Fiアクセスポイントが隠されていたら、あなたは気付くでしょうか?もしそのような場所に設置されていたら、誰かが道路の向かい側に駐車し、企業のインターネット接続経由でインターネットにアクセスし、痕跡を残さずにあらゆる大混乱を引き起こすことになりかねません。連邦政府が出頭し、その場所から児童ポルノが追跡されているかどうか尋問されるような事態は、どの企業にとっても耐え難いものです。しかし、悪意のあるIT担当者にとって、インターネット接続のあるほぼすべての企業で、まさにそのようなシナリオを実行するのは驚くほど簡単です。
だからこそ、IT担当者やチームを完全に信頼できる必要があります。技術に詳しくない経営者には、会社のIT担当者がネットワークやサーバーで実際に何をしているのかを知る術はありません。
この警告の目的は、ヒステリックな警鐘を鳴らして恐怖や不安を広めることではなく、単に真実を指摘することです。上記のシナリオは非常に簡単に実行でき、世界中の企業で今まさに間違いなく起こっています。しかも、社内の他の誰も何が起こっているのか全く気づいていません。通常、悪質なIT慣行が露呈するのは、別のIT担当者やコンサルタントが、裏切り者のIT担当者に警告なく現れた時だけです。
企業データの窃盗・売却から、企業サーバーにロジックボムを仕掛けて業務に恒久的な支障をきたすまで、IT担当者の不正行為が数多く報じられています。最新の事例は、わずか数週間前に公表されたものです。不満を抱えたIT管理者のウォルター・パウエル氏がキーロガーデータを用いて前職のネットワークに侵入し、取締役会でのPowerPointプレゼンテーション中に会議室のテレビにポルノ画像を映し出すなど、約8万ドル相当の損害を与えました。
犯人が捕まった事件はよく耳にするが、その一つ一つに対して、公表されない事件が数十件、あるいは単に発見されない事件がさらに多くあると思われる。
信頼するが検証する
中小企業がこの種の内部脅威から身を守る唯一の方法は、外部のコンサルティンググループに定期的にネットワーク監査を依頼することです。規模の大小を問わず、多くの企業がこの種の業務を行っていますが、費用、スキルセット、そして効果の度合いは大きく異なります。IBMやEDSに依頼することもできますし、予算に優しい小規模な企業を選ぶこともできます。他のサービスプロバイダーを選ぶ際と同様に、事前に十分な実績を確認することが重要です。
監査は、すべてのコンピューティング リソースを物理的に検査するだけでなく、不正なアクセス ポイントを検出するために Wi-Fi スキャンを実行し、各 PC (または少なくともランダムな数) でスキャン ソフトウェアを実行してキーロガーなどを探すことで構成される必要があります。
もちろん、これらの監査手段に頼ると、社内スタッフに対して彼らを信頼できないという明確なメッセージを送ることになり、士気が低下するだけでなく、IT 担当者が、ネットワークを「過剰に保護」している理由や、何を隠そうとしているのかを探るために、特別な手段を講じる可能性もあります。
おそらく、この状況に対処する最善の方法は、率直に話し合うことです。ネットワークを別の視点から監視する必要があることを話し合い、外部のセキュリティ監査機関を招聘することがIT部門にとって最善の利益であることを強調しましょう。結局のところ、ネットワークが侵害された場合、ネットワークをテストし、安全であると宣言した外部の企業は、脆弱性を特定できなかったことに対する大きな責任を負わなければなりません。
毎年または半年ごとのセキュリティ監査の費用が予算管理機関を怒らせるほど高額であれば、ITスタッフの不正行為から身を守る選択肢は限られます。ある程度技術に詳しい方であれば、WiFi Analyzer、WiFiFoFum、WiEye for AndroidなどのWi-Fiスニフィングアプリをスマートフォンにダウンロードして使用し、隠されたWi-FiネットワークSSIDの存在を警告してもらうことができます。ただし、iPhoneをお使いの場合は、Appleが昨年App StoreからすべてのWi-Fiスキャンアプリを削除したため、脱獄しない限り、この方法は使えません。いずれにせよ、不正アクセスポイントをスキャンするだけでは、他の悪質なデバイスがネットワーク上のどこかでデータを収集していないという保証はありません。
中小企業にとって、従業員を信頼できることは極めて重要です。予算の制約と将来の問題発生の可能性との間で、賢明な判断を下せるかどうかも重要です。IT部門が完全に信頼を勝ち得ており、この問題について心配する必要がないと自信を持って言えるなら、それは非常に幸運なことです。
