The Hacker Newsはこのほど、「Unpacking Slack Hacks: 6 Ways to Protect Sensitive Data with Secure Collaboration」において、コラボレーションツールを安全に利用するための6つの対策を紹介した。Slackデータの漏洩インシデントとしてウォルト・ディズニー・カンパニーの事案を取り上げて、そこから学べることを紹介している。
Slackデータの漏洩
7月12日、ハクティビストを自称する脅威グループ「NullBulge」が、ウォルト・ディズニー・カンパニーから1TBを超える内部データを窃取したと発表した。内部データはSlackのデータとされ、次の情報を含むと主張している(参考:「攻撃者がディズニーから1.1TBのデータ窃取と主張、内部協力者が関与の可能性 | TECH+(テックプラス)」)。
- 未公開プロジェクト
- 画像とコード
- 複数のログイン情報
- 内部AP(Application Programming Interface)およびWebページへのリンク
この事案では内部協力者の存在が示唆されており、データ保護の難しさを浮き彫りにしている。The Hacker Newsは同様の事案を防止するためとして、6つの対策を紹介している。
コラボレーションツールを安全に利用するための6つの対策
The Hacker Newsが提案するコラボレーションツールを安全に利用するための6つの対策は次のとおり。
(1)高度な暗号化
コラボレーションツールは業務を円滑にするコミュニケーションツールでもある。機密データの共有が可能になれば、さらなる業務の効率化も期待できる。そのため、公的機関から承認された高度な暗号化を採用する。
(2)デフォルトセキュリティ
エンド・ツー・エンドの暗号化(E2EE: End-to-end encryption)を実現するソリューションを導入する。ユーザーはデフォルトの状態でベンダーからも保護される通信環境が得られる。
( 3)柔軟な選択肢
パブリッククラウド、プライベートクラウド、オンプレミス、これらすべてに対応可能なソリューションを導入する。このようなソリューションは内部ネットワークの更新や強化に柔軟に対応し、安全な通信を維持できる。
(4)安全な暗号鍵の交換
技術的に安全な方法で暗号鍵を交換するソリューションを利用する。このようなソリューションはグループチャットやチャットルームの参加者以外への会話の漏洩を防止する。
(5)記録保持
米国証券取引委員会(SEC: U.S. Securities and Exchange Commission)の記録保持要件(監査証跡の生成、保存)を満たすソリューションを利用する。米国では違反企業に罰金の可能性がある。
(6)実証された技術の利用
安全性が実証された既存の技術を利用する。上記の要件の実現にあたって、利用可能な既存の技術があれば積極的に採用する。
オールインワンソリューション
コラボレーションツールは多くの企業からさまざまな製品がリリースされている。企業ごとに要件が異なるため、最適な製品および環境は担当者が調査して決定する必要がある。このとき、上記の条件を参考に低リスクで安全な製品を導入することが望まれている。