スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ネットエージェント、情報漏えい問題に従業員のプライバシー無視ソリューションを提案

以前にもネットエージェントは「Winny特別調査員」というプログラムを覚えたての学生でも作れるようなソフトを情報漏えいのソリューションだとして販売していたが、今度はその第二弾として「Winny特別調査員2」というサービスの販売を始めたよ、というお話。概要としては、企業が設定したキーワードに一致したファイルを従業員の自宅PCをスキャンすることで発見、そのファイルを企業の設置したサーバに送信、ファイルの確認後に持ち出しを禁止している情報である場合には、従業員に対して処罰を与えるといった感じ。従業員のプライバシーに土足で踏み込みかねないサービスに対して、あまりに無責任な感じなので非常に腹が立った。

原典:NetAgent
原題:Winny特別調査員2
著者:ネットエージェント
URL:http://www.netagent.co.jp/winny_check2.html

はじめに言いたいこととしては、もはやWinnyと関係ないものにまでWinnyってつけるセンスが気に喰わない。

で、このプログラムは、あらかじめ企業によって設定されたキーワードに基づいて、従業員やその他関係機関、企業、団体、個人のPC内にあるドキュメントをスキャンし、ヒットしたファイルを企業の用意したサーバにアップロードするというもの。

順を追ってみていこう。

まずはじめに、このソフトを導入する企業は、機密情報や個人情報が含まれている文書に含まれるキーワードを設定することになる。ここで1つ注意が必要なのだが、設定されるキーワードは納品後に変更することはできない。となれば、企業側は可能性のあるキーワードを網羅するよう設定するだろう。ネットエージェントでは企業名などもそのキーワードの例としてあげている。

次に、納品されたCDを従業員らに配り、自宅PCで実行するよう求めることになる。プログラムは自動実行され、PC内のメール本文、メールの添付ファイル、Wordや一太郎、Excelなどのドキュメントファイルをスキャンし、キーワードを含むものをリストする。ネットエージェントは、「企業名」をキーワードの一例としてあげているため、企業名の含まれる愚痴・批判メールなどもリストされることになるだろう。

リストされたファイルは、強制的に企業が設置したサーバにアップロードされる。ネットエージェントはこれをファイル回収サーバと呼んでいるが、その理由としては、アップロードを行った際に、リストされたファイルを削除するからなのだろうが、こんな馬鹿げたサービスを依頼する企業に、ファイルを回収してくれるのか!という勘違いを引き起こしかねないこと請け合いである。

で、その回収されたというファイルを企業が確認し、持ち出しが禁止されているファイルであることが判明すれば、晴れて当該の従業員または関係者に処罰がくだることになる。

では、問題点を述べていこう。キーワードの設定に関して、後に変更できないことを考えると、考えられる全てのキーワードが設定されることになるだろう。そうなれば誤って無関係なファイルまでリストし、アップロードする確率が高まることになるだろう。たとえば、メールで会社の愚痴を書けば、それがアップロードされることになる。また、それ以外でも私的な文書やメールがキーワードが含まれるというだけで、勝手にアップロードされ、それを閲覧されることになる。

もちろん、ネットエージェントも自動アップロードは任意のオプションであるとしているが、一方で手動でのアップロードも可能であるとしている。手動といっても、従業員ではなく、企業の側がリモートで選択することができるということかと思われる。従業員の同意を得ずして、勝手にファイルを選ぶというのも何とも身勝手な話だ。まぁ、もしかしたら従業員の側が手動でアップロードするファイルを選択するのかもしれないけれど、それならこのプログラムは全く意味のないものになるだろう。どちらにしても最悪なことには変わりない。

あ、ふと思ったんだけど、このプログラムって、情報漏えい対策と称して従業員や関係者の情報を不正に得ることもできるんだよね。これは検閲以上のものだわねー。

また、FAQにはこんなものもある。

Q.間違えて回収してしまったファイルはどうしたらよいですか?

社内の持ち出し規定に沿って返却してください。

Q. えーと、返却って意味わからないんですけど?

おそらく、このような発想になるのも、削除機能がついていることによるのかと。これもまた問題が多いだろう。

もし、誤ってリストされたファイルやメールを削除した場合には誰が責任を取るのだろうか。しかも、ネットエージェントが「復元ツールを使っても復元できない」と太鼓判を押すほどの削除を行うのである。ということもあって、誤って削除されたものに関しては、後に企業が返却をするという何とも七面倒な話になる。つーか、それってものすごいコストを必要としてないか?

ということで、確実に当該のファイルであると判断できなければ、削除機能を使うことはできないだろう。もちろん、これもオプションで手動を選択することができるのだが、何を基準に削除するのかも企業次第だし、リモートで削除できる状態にあるノンセキュアな状態のPCというのも問題だろう。

つか、機密情報をアップロードするなんて、それこそ危ない話なんだがどういうおつもりなのだろうか。たとえセキュアな通信だとしても、それこそセキュリティ意識が欠如した発想のような気がするけれどもね。

あー、もう突っ込みどころが多すぎで嫌になってきた。もう結論を言ってしまえば、誤検出によるプライバシー侵害を助長するようなサービスを提供しつつ、その誤検出に対してあまりに無責任な態度をとるネットエージェントはクソだということ。確実に持ち出し禁止のファイルをリストできるというならともかく、単純なキーワードによるスキャンという、全く無関係なファイルを大量に引っ掛ける可能性が高いやり方を持ちいているわけで。それを無断でアップロードだの、削除だのあまりに不愉快な話だし、それは個々人の財産にも関わる話になりかねない。

おそらく、ネットエージェントとしては、問題が発生したとしても、設定をされた起業の側に問題があるのですと言い逃れをするに違いない。「私が悪いわけではない」、ってのは最近の海賊行為の特徴だと思ってたけどね。

でもって、オートランでファイルや情報を自動で送信したり、削除を許容するようなマシンなど、その時点でセキュリティが甘いってこと。セキュリティソフトやFWを導入してあるマシンならそんなことは許さないだろう。

ああ、そうか、セキュリティの甘いマシンを対象に、キンタマウィルスに感染させる前に、Winny調査隊2に感染させることが目的だったんだな。そうかそうか。

まぁ・・・こんな程度の低いサービスを利用する企業なら、セキュリティ落としてでも実行しろとかいいかねないけどね。

にしても、Winny上のウィルス作者を特定したというネットエージェントさんは、そちらは放置してWinnyウィルスで大もうけってわけだ。

**追記**
ふと思ったのだけれども、下手にあほらしいサービスを導入するより、セキュリティソフトのライセンスを大量に購入して、従業員に配布した方がいいんじゃないのかしらね。もちろん、持ち出しは厳禁なのは当然だとしてもね。それくらいが限界じゃないかなぁ。まぁ、従業員にしてみれば、私用のPCのセキュリティまで会社がもってくれるなら、嬉しいんじゃないの?win-winってやつか?

Trackback

Winnyを食い物にするのはどうかなぁ?
2004年の古い記事だがちょっと見てほしい。デスクトップ画像をWinnyで流通させる正体不明のウイルスhttp://internet.watch.impress.co.jp/cda/news/2004/11/08/5303.htmlこれが本当なら、ネットエージェント社は
2007.06.22 10:34 | Torrentで逝こう
Trackback URL
http://peer2peer.blog79.fc2.com/tb.php/518-04b7c082

Comment

Comment Form
公開設定

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
最新の記事
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。