Dropboxを使用している従業員にはどのようなセキュリティリスクがありますか?


17

Dropboxのファイル共有/バージョン管理/バックアップの全社的な使用に関して留意すべき特定のセキュリティ上の懸念はありますか?また、リスクを制限するために推奨される特定のオプションまたは設定はありますか?


企業および個人用のDropboxの主要なセキュリティおよび法的問題の詳細を以下に示します。blog.5ttt.org

回答:


7

それはあなたのビジネスとあなたのパラノイアのレベルに依存します。VPN接続を備えたラップトップを発行する方が、より高価ですが、はるかに安全です。

本当に速い...

いくつかのリスク:

  • 元従業員は、雇用終了後にビジネスデータにアクセスできる可能性があります。不満を抱いている従業員が解雇された後に物事にアクセスしたくない場合は、ビジネスとしてアカウントを管理する必要があります...
  • これらのサービスは、あなたが持っている自動化されたドキュメント保持メカニズムをバイパスし、ドキュメント保持のために手動でカバーするための別の領域を追加します

推奨事項:

  • データを保存するための独自の暗号化キーを生成できること、およびキーがサービスプロバイダーと共有されていないことを確認してください。
  • データがサービスのリポジトリに送信される前に暗号化されていることを確認してください
  • 個人に自分のアカウントを持たせる場合は、会社の連絡先を1つにしてください。この人(またはプロキシとしての数人)を介してすべてのアカウントを調整します。または、プロバイダが何らかの方法で従業員をグループ化できるビジネスアカウントをサポートしていることを確認してください。

元従業員のアカウントを制御しないことについてのポイントは役に立ちました。終了計画の一部として、フォルダーの共有解除を追加します。
デイブバグ09

また、管理されていない環境で個人データが最終的に危険にさらされるため、EUビジネスにとっても問題となります。同じことは、セーフハーバー認証の保持を希望する米国のビジネスにも当てはまります(したがって、EUの個人データを処理できます)。
Vatine

5

ここでは非常に慎重に踏みます。Dropboxは、別のコンピューターのハードドライブへの拡張を可能にします。

この拡張は、USBキーよりもはるかに簡単に、その共有を使用している1台のPCでの感染が他のすべてのPCに感染する可能性があるという意味で、USBキーよりも劣っています。ウイルス/トロイの木馬/ボットの作成者は(まだ)ドロップボックスをターゲットにしませんが、そうすることを決めた場合、安全なネットワーク上の会社が管理するPCから安全でないネットワーク上の安全でないコンピューターへの仮想のロック解除されたドアを手に入れます。そのままで、通常の操作を使用すると、そのドアを通ってコンピューター上の他のものを見ることができません-ドロップボックス内のアイテムのみが表示され、新しいアイテムはその領域でのみ作成できますが、それはdropboxアプリケーション自体が侵害されることはありません。

さらに、Dropboxは多くのセキュリティを主張していますが、実際に証明できるものは何ですか?誰かがまったく別のPCからリモートでそのウィンドウに侵入し、感染したドキュメントやプログラムを職場のPCに配置しようとする可能性があります。

クライアントとの通信にDropbox自体が使用するプロトコルがあります-暗号化されていますか?バッファオーバーフローの影響を受けませんか?中間者攻撃?スニッフィング?リプレイ攻撃?標準プロトコルを使用して、標準のドロップボックス領域の内部または外部にファイルを配置することは可能ですか?プロトコルにバッファオーバーフローがある場合、マシンへのフルアクセスを許可する方法で侵害することは可能ですか?マシン上のネットワーク共有?

リスクはそれほど高いとは思いませんが、被害は広範囲に及ぶ可能性があるため、慎重に検討する必要があります。

-アダム


3
内部的にDropboxはPython実行可能ファイルを介してrsyncを使用します。使用されているプロトコルが標準ではないという推測はありませんが。
ジョエルラッシー2009

5

パラノイア????

おい..ネットワークから一歩離れて..ゆっくり..キーボードから手を離して..今すぐやってください!!!

Dropboxのようなファイル共有クラウドベースの「消費者」ソリューションは、ビジネスや企業向けではありません。マイクロソフトは、Skydriveが出てきたときにこれを最もよく言い、これらのタイプの製品はビジネス目的には使用しないでください。

何千もの理由が、なぜそうすべきなのかを上回っていません。

セキュリティリスク以外の最大の法的理由(およびサードパーティが機密ファイルにアクセスできることを指定する利用規約により、消費者ベースのサービスには機密情報を保存しないでください。..)Dropboxなどのサービスの事実です。これを聞かせてください。これらのファイルはどこに保存されていますか?それらのサーバーはどこにありますか?最低価格の入札者で、データエクスポートルールと法律と呼ばれるものを呼び出すことができます。公共の集会場所、学校、ジム、パスワード、または輸出制限ソフトウェアをダウンロードできるCiscoアカウントなどのユーザー名への電気的なレイアウトなど、機密文書までは、その法律に違反しています。あなたは刑務所に行きます、あなたは行き​​ません。.私は今、それがFTCと国土安全保障によって処理されると信じています。

DBの利用規約は、(基本的に)ビジネスPCにインストールされている場合(ビジネスPCにインストールする人がTOUをクリックすることで保証するため、Dropboxはその人を想定しています)、「許可された」個人がそうすることを指定しますFOR THE ENTIRE COMPANY .. Period ...(Dropbox.com/termsの最初のセクション)

私のサーバーと作業環境以外でこれを使用できないのは、単に倫理です... Skydriveのような消費者向け製品には、大きな文字で「ビジネスはありません。顧客のデータを危険にさらしたくないからです。彼らはそれがリスクであることを知っているので、ビジネスレベルです!そして、「スタッフ」などの契約で合法的な単語を使用するFlippin Dropboxは、「セキュリティのこと」全体をパテケーキし、大したことではないように振る舞います(ご希望ですか?利益を失い、その価値を共有するために?おそらくない...)....

それは大したことです。セキュリティグループがあなたと私が単純な慣行に従うように懇願するほど、Dropboxのような大きなコンプが出てお金のために..利益のために、大したことのないように振る舞います...

あなたのビジネスが単一のクレジットカード番号の小さな断片と名前と有効期限を保存したらどうでしょうか?DropboxクライアントがインストールされたPCが、Dropboxのセキュリティ違反により「侵入された」と言った場合... Visa / Amexなど。政府の支援を受けている大手銀行会社(Payment Card Industry(PCI)Standardsがそう言っているからです。..だれが...)罰金を科します。驚異的な1インシデントあたり$ 500,000.00 ...小規模ビジネスまたは中規模ビジネスをビジネスから除外するのに十分です。

それを回避する唯一の方法は、PCI認定の暗号化製品を使用してそのデータをローカルで暗号化することです。Dropboxに行く前に、すべてのリモートデバイスのライセンスを購入し、必要なファイルをダウンロードし、使用する前に暗号化を解除しますそれ..(まったく面白くないように思わないでください...)(または、サーバーネットワーク上のデータを暗号化し、ゲートウェイでクライアントを暗号化する...)

それだけで、ユーザーあたり20ドル未満(基本的な場合は約11ドル)で、HIPAA、SOX、ISO、およびPCIの認定を受けたOffice365 Eシリーズプランを取得できます。このとき」ではありません。...)

だから、あなたの心の中には小さいとはいえ、自分自身に問いかけてください...それは実際にリスクに見合う価値があるのでしょうか?そして、あなたは、自分の製品の使用に関連するリスクを軽く、または軽く考えている会社とビジネスをしたいと思いますか。

もしあなたがテクノロジーに携わっているなら、あなたがキャリアに危険を冒す価値はありますか?あなたの名前が骨盤のそばにあり、あなたがニュースを作った後、あなたは雇用可能であると思いますか?CTOとして、私はあなたに約束することができます。私の人生でその背後にある言い訳を聞くことさえありません。はい、私たちは皆間違いを犯します。だからこそ、IT部門での仕事は、できる限り大小を問わずリスクを排除することです。ビジネスの場合(競合他社があなたが誰であるかを見つけて漏洩した場合.. 、ISO、

まあ..それはあなたが決めることです...それはキャリアの価値がありますか?会社や顧客のデータを失う価値はありますか?

私にとっては…ではありません...消費者は企業ではなく消費者製品を使用しています...期間。


4

更新(1,5年後):Dropboxは、SSLプロトコルを介してデータを送信し、AES-256-Containerに保存して、自分で(パスワードなしで)アクセスできないと主張しています。


2
その主張は嘘であることが判明した。wire.com/threatlevel/2011/05/dropbox-ftc
デビッド・サイクス

4

Dropboxは最近、モバイルクライアントとサーバー間のファイルメタデータの転送にSSLを使用していないことを認めました。パフォーマンス上の理由から、意図的にこれを行います。彼らはこれを行うことを彼らのウェブサイトのどこにも述べません。あなたはそれについてここで読むことができます:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop


2

社内で使用するセキュリティを強化したバージョンを開発していると思いますが、その間、ファイルはサーバー上で暗号化されていないため、信頼する必要があります。

それ以外は、Dropboxに固有の他のセキュリティリスク(情報漏えいなど)は見られません。


真実ではありません-Dropboxは、サーバー上に保持されているすべてのデータブロックを暗号化します。ただし、キーはDropboxによって完全に管理され、異なるアカウント間で共有されます。他にも多くのセキュリティ問題があります。「Dropbox config.db」のグーグルなどです(この答えを書いたため)。
-RichVel

1

多くは、あなたの会社で実施されているポリシーに依存します。私が仕事をしているところ、つまり私が行っているすべての開発が病院ではなく私に属しているようなものであれば、会社の知的資産が「さまよう」ための簡単な手段であることが心配になるでしょう。

内部または監視可能な接続を介してのみアクセス可能なものをセットアップできるドキュメント管理システムがたくさんあります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.