会社のネットワークに接続している場合、雇用主はインターネットで私が何をしているのかを見ることができますか?
これは メタに関するこのディスカッション に続く標準的な質問の試みです。その目的は、一般の聴衆が理解できる基本的な答えを生み出すことです。
職場でネットワークに接続しているときに、ウェブを閲覧してさまざまなアプリを使用しているとしましょう。雇用主(ネットワークを管理する人)は、アクセスしたWebサイト、送信したメール、IMメッセージ、聴いたSpotifyの曲などを確認できますか?彼らは何を見ることができますか?
自分のコンピューターを使用するか、雇用主から提供されたコンピューターを使用するかは重要ですか?使用するプログラムや、アクセスするWebサイトは重要ですか?
はい。常に「はい」と想定してください。
確信が持てない場合でも、常に「はい」と想定してください。あなたが確信している場合でも、彼らはISP、パケットロガーをインストールした悪意のある管理者、画面をキャッチするビデオカメラと契約している可能性があります...はい。
職場で行うすべてのことは、誰でも見ることができます。特にデジタルメディアで行うすべてのこと。特に個人的なもの。特にあなたが彼らに見てほしくないもの。
情報セキュリティの基本的なルールの1つは、マシンに物理的にアクセスできる人はだれでもマシンを所有することです。 あなたの雇用主はすべてに物理的にアクセスできます:マシン、ネットワーク、インフラストラクチャ。ポリシーの追加と変更、証明書のインストール、中間者としての役割を果たします。 「SSL」を使用するWebサイトでさえ傍受される可能性があります。これには正当な理由がたくさんありますが、その多くは独自のネットワークセキュリティ(ウイルス対策、ログ記録、特定のサイトや機能へのアクセスの禁止)に関連しています。
あなたが幸運になって、彼らがあなたのメッセージのcontentsを見ることができない場合でも、彼らはまだ他の多くのことを見ることができるかもしれません:あなたの接続数作成した、どのサイトに、どのくらいの量のデータを送信したか、いつ...自分のデバイスを使用していても、安全な接続を使用していても、ネットワークログはかなり明らかになる可能性があります。
仕事中、または仕事用のコンピューターを使用している場合、または会社のネットワークで自分のコンピューターを使用している場合は、必ず雇用主がすべてのことを見ることができると仮定してください。
それはあなたのデバイスですか?
監視できる方法は2つあります。コンピュータで実行していることは、コンピュータにログオンしているか、それが生成するインターネットトラフィックは、ネットワーク上の別の場所に記録されています。
輸送中のトラフィックのスヌーピングを防ぐ方法はたくさんありますが、それがコンピューター(またはスマートフォンやタブレット)でない場合は、デバイスで実行するすべてを監視できる可能性のある何らかのロギングソフトウェアがインストールされている可能性があります。例外なく。雇用主がデバイスを改ざんすることを許可した場合も同様です。いくつかのソフトウェアをインストールします。
現在、これはトラフィックがログに記録されるほどではない可能性があります。高セキュリティエリアで作業しない多くの雇用者は努力する価値がないと思うかもしれませんが、それでもまだ非常に現実的な可能性があります。したがって、雇用主から提供されたデバイスを使用している場合、どのような予防策を講じても、雇用主はすべてのことを潜在的に見ることができます。
ブラウジング時にHTTPSを使用していますか?
自分のデバイスを使用していて、雇用主が何もインストールしていないとしましょう(おそらく、プライベートスマートフォンをオフィスのWi-Fiに接続しています)。ネットワークトラフィックを監視することで、アクセスしたWebページを引き続き確認できますか?
これは、プレーンHTTPを使用するか、HTTPSを使用するかによって異なります。アクセスするアドレスがhttps://で始まる場合、それは通信が暗号化されていることを意味します-SはSecureの略です-http://で始まる場合は暗号化されていません。 URLバーに南京錠アイコンがあるかどうかを確認することもできます。Firefoxの手順 こちら を参照してください。
ただし、ここにはいくつかの大きな警告があります。
- アクセスしたドメインは引き続き表示されます。したがって、
https://example.com/secretにアクセスした場合、雇用主はexample.comにアクセスしたことは確認できますが、secretページに特別にアクセスしたこと、そこに書き込まれた内容、または投稿したものは確認できません。 - このデバイスがオフィスで発行されたものであるか、雇用主によって改ざんされている場合、いずれかの方向に向かうすべてのトラフィックを読み取るのは簡単です。これは デバイスに証明書をインストールする によって行われます。完了すると、サーバーまたはユーザーからのデータを傍受し、データを復号化して再暗号化し、賢明な人がいない受信者に送信できます。 HTTPSは役に立ちません。
他のアプリの場合、暗号化を使用していますか?
ブラウザーでWebページにアクセスするだけではなく、インターネット上で多くのことを行います。お使いのコンピューターと携帯電話の両方に、インターネットを何らかの形で使用する数十のアプリがインストールされている可能性があります。それらについてはどうですか?
悲しいことに、これはもう少し不透明です。デフォルトでは、ネットワークの所有者は、ネットワーク上で送受信するすべてのものを読み取る(および変更する)ことができます。それを防ぐには、何らかの暗号化を使用する必要があります。
特定のアプリが暗号化を使用している(正しく実装されている)かどうかは、アプリの作成者が積極的に宣伝しない限り(そしてあなたがそれらを信頼していない限り)知るのが難しいかどうかです。 WhatsApp などの一部のアプリは、有名な暗号化を使用していますが、他のアプリは使用していません。トラフィックが暗号化されていることを知らない限り、暗号化されていないと想定することをお勧めします。
TL; DR
場合によります。安全を確保するために、「はい」と想定し、自分のプライベートホームネットワークから機密性の高いビジネスを行うことをお勧めします。
効率的な議論を行うために、スヌーピングを行う方法の可能性を調査します。
ただし、機会があってもすべての会社があなたの行動を監視するわけではありません。これは厳密に仮説的な調査です。私たちはのみ調査していますスヌーピングの可能性ではなく、雇用主がそれをどのように利用しているかを調査しています。あなたの雇用主が振る舞うと想定する方法はあなたとあなたの雇用主の間です。
これらのことから、スヌーピングの可能性の度合いを調査するときに考慮すべき重要なポイントがあります。
- 使用しているハードウェアは誰が所有していますか?
- どのネットワークを使用していますか?
- 誰がいるの?
使用しているハードウェアは誰が所有していますか?
自社所有のハードウェアを使用している場合、これはおそらく最悪のシナリオです。あなたの雇用主は、スヌーピングの方法を決定するときに選択できる幅広いツールを持っています。雇用主のハードウェアを使用している場合、すべてが可能です。すべてを監視できます。ハードウェアをセットアップする際、雇用主は完全な自律性を持っています。キーロガー、スクリーンレコーダー、パケットマニピュレーター、および作業を続行するための迷惑なリマインダーは、コンピューターではないため、ユーザーの同意なしにコンピューターにインストールできるもののほんの一部です。何らかの改ざんが行われたことを確認することは不可能です。別のネットワークを使用している場合でも(可能性は低いですが)、データはモニターに到達する前に任意の数のハードウェア間を通過できます。前に述べたように、これはおそらく最悪のシナリオです。
あなたはビデオ制作会社で働いています。職務の目的に不可欠なソフトウェアは高価でリソースを大量に消費するため、オフィスにいる間に使用するAdobeソフトウェアスイートやBlenderなどを備えた自社製マシンが提供されます。あなたのチームリーダーは、彼があなたが取り組んでいるプロジェクトの詳細についてよく知っていることを示唆しているようです。そのため、コンピューターにインストールされているソフトウェアを調査することにしました。さいわい、Windowsコントロールパネル内の[プログラムのアンインストール]ウィンドウには、疑わしいものは何も表示されません。
次に、 プログラムをコントロールパネルから非表示にする方法 に関する記事を覚えています。その場合の唯一の方法は、レジストリを表示することです。これは、管理者アカウントがない場合は不可能です(持っていない場合)。 管理者アカウントなし、保証なし
どのネットワークを使用していますか?
以前にKali Linuxを使用したことがある人なら誰でも、ネットワークは脆弱である可能性があります(通常は脆弱です)。ただし、Kaliによる監視/操作とローカルネットワークの監視/操作は、2つのまったく異なるボールゲームです。ネットワークを制御すると、すべてのMACアドレスからのすべてのトラフィックにアクセスできます。トラフィックは文字化け(暗号化)されることもあれば、プレーンテキスト(暗号化されない)になることもあります。ただし、トラフィックはすべて監視に限定されます。ネットワーク経由で行うことだけが表示可能です。ネットワーク化されていない場合は、安全です*。
暗号化されていないトラフィックは危険です。聴いている人なら誰でも、イーサネット/ワイヤレスカードに出入りするものと正確にどこに行くのかを見ることができます。ワイヤーを介して送信している内容(ブログ投稿へのコメント、FTPサーバーに送信されたファイル、またはSSLを使用しないSMTPサーバー経由で送信された電子メール)をマスクしたい場合、これは適切ではありません。ここで安全を確保するために、 TLS/SSL を使用すると安全です。これにより、回線を介して送信される情報が暗号化され、サーバーとの間のパケット内のコンテンツが保持されます。
ただし、TLS/SSLを使用しても、スヌーピングの可能性がまだ存在することを考慮する必要があります。 「メタデータ」、つまりデータに関するデータは、コンピューターがネットワーク経由でリクエストを行う方法の性質上、引き続き収集できます。それでも、インターネットに接続されているルーターに、どこから情報を取得したいか、どこに行く必要があるかを通知する必要があります。仮想プライベートネットワークは、allネットワークトラフィックを暗号化し、それを別の場所のルーターに送信して、あなたになりすまして、このレベルのスヌーピング**からの保護を追加します。
以前のプライバシーの大失敗の後、自分のワークステーションを機能させることにしました。ネットワークに接続すると、すべてがスムーズに進みます。ただし、チームリーダーがディスカッションのトピックを取り上げ、メッセージボードに投稿したコメントの多くを思い出させることに気付きました。以前と同様に、調査することにしました。あなたはsecurity.stackexchange.comを読んで、あなたの情報が盗まれたかもしれないことを知りました。防御として、VPNを使用してすべてのトラフィックを暗号化し始めます。さらに多くのブログ投稿を行った後、会話の流動性が低下する傾向があります。成功!
*:インターネットで使用されていない一部のソフトウェアがバックグラウンドで使用情報を送信する可能性があるため、ここでは注意が必要です。これを事前にユーザーに通知することをお勧めします(Xの会社に匿名の使用統計を送信するには、ここをチェックしてください)がすべてではありません。
**:VPNへの接続を防ぐために、MACアドレスまたは代替DNSを使用してVPNをブロックすることができます。これは一部のISPで一般的な方法です。
最後のポイントとして、例から始めます。
突然、あなたの雇用主はあなたが再びフォローしている掲示板に似たトピックについて言及し始めます。 「待ってください。私のハードウェアは安全で、トラフィックはVPNの背後にあります。これはどのようにして可能ですか?」
誰がいるの?
情報を収集する最も簡単な方法は、情報を探すことです。文字通り見てください。カメラ、肩越しに覗き見、双眼鏡を使用して部屋の向こう側の画面を見る、コンピューターがまだログインしていてバスルームにいる間にコンピューターを見るなど。これらの「中世の方法」の覗き見は大雑把かもしれませんが、私はむしろ、誰かのコンピュータに近づいて、ネットワーク/ハードウェアスヌーピングのすべてのハードワークを実行することと比較して、私が知りたいことを見つけたいと思います。
また、これは間違いなく、物理的な行動やスペースに深刻な変更を加えずに防御するのが最も難しいことです。私はこれらのパラノイアの例と解決策を残して、これらの問題を心配して解決するのに十分なようにしています。
はい。監視するかどうか、または監視するレベルまでは、会社にとっての問題です。通常、監視ポリシーは会社の従業員のハンドブックに記載されており、通常、許容される使用法のセクションまたはこれに特化した別のドキュメント全体があります。
特定の業界は規制されており、あなたの会社は法律で義務付けられている可能性があるすべての電子活動を監視する権利を持っているだけであることに注意してください。
一般的な経験則としては、企業のインターネットで何をしようとしているかを考えます。上司があなたの隣に座ってそれをしないとしたら、それはすべきではありません。
プライベートコンピューターに関する部分については、それを会社のネットワークに接続すると、そのインターネット上で行う活動は雇用主のポリシーの対象となります。会社の管理下にないデバイスをネットワークに接続させることさえも企業にとっては悪い考えです。多くの企業はこれを禁止するポリシーを持っているでしょう、そしてあなたが彼らの許容できる使用ポリシーの違反である何かをしなかったとしてもあなたがこれをすることはあなたにとって問題になります。
ほとんどの場合...特に会社のコンピュータの場合。これは、監視されていると仮定する必要がある常にと言われています。彼らがあなたを見ているかもしれないいくつかの主な方法があります。
- ルーターのログを使用します。 torやVPNなどのサービスを使用しない限り(雇用主を混乱させる可能性があるため、おそらく使用すべきではありません)、サイトでHTTPSを使用していない場合は、訪問したWebサイトと送信したデータを常に確認できます(可能であれば、以下を参照してください)
- 雇用主がHTTPSを壊している可能性があります。 HTTPSの仕組みにより、「認証局」と呼ばれるものがあります。これらは、サイトとその暗号化キーのIDを保証する信頼できる機関です。会社のマシンを使用している場合は、そのコンピューターで認証局と見なされるように設定されている可能性があります。これは、「中間者攻撃」を実行できることを意味します。基本的に彼らは彼らがHTTPSサイト、グーグルであると言います。 theirキーで暗号化されたトラフィックを受け取り(会社のマシンにCAとしてインストールされていることに注意)、それを復号化してから、パケットをgoogleに転送しますおよびその逆。
- あなたの雇用主はあなたの会社のマシンにキーロガー/リモート管理ソフトウェアを持っているかもしれません。これにより、上記の他の要素に関係なく、会社のコンピューター上のすべてのトラフィックとすべてのファイルを見ることができます。
alwaysは、職場で監視されているかのように振る舞うことを覚えておいてください。パソコンを使用している場合でも、画面に防犯カメラが向けられていたり、上司が突然入ったりすることがあります。
参考文献:
通常の場合、上司はあなたがネットワークで何をしているのか興味がありません。しかし、彼は定期的にチェックすることに決めるかもしれません。あなたの質問に答えて、ネットワークの所有者はどのネットワークも監視できます。
自分のデバイスを使用しているかどうかは、デバイスが持つ全体的な制御にのみ影響します。たとえば、提供されているデスクトップコンピューターを使用している場合、そのコンピューターが監視されている可能性があります。ただし、独自のものを使用している場合は使用しません(もちろん、ネットワークに接続している場合を除きます)。それにもかかわらず、ネットワークの所有者は、ネットワークのトラフィックフローを引き続き監視できます。つまり、送信した情報を監視できます。
これは、プロキシを使用するか、ネットワークパケットを暗号化することで回避できます。職場でプロキシを使用することの欠点は次のとおりです。
- 検出は比較的簡単です
- 悪意のあるプロキシである場合、デバイスへの脅威となる可能性があります
- 所有者(またはIT部門)は気に入らないでしょう。
さらに、プロキシの使用が部分的にブロックされている(プロキシ設定機能がロックされている可能性がある)か、ネットワークがアクセスを許可していない可能性があります。
もう1つのオプションは、ネットワークパケットの暗号化です。主な欠点は、多くの作業が必要になることです(ただし、コンピューターからの情報のすべての流出を暗号化するプログラムを常に使用することはできます)。
最後の2つのオプションは、独自のデバイスを使用しているという前提に基づいています。会社提供のコンピュータを使用している場合は、これらの操作を行わないでください。
要約すると、会社が提供するデバイスでは、必要なすべてを監視および制御できますが、独自のデバイスでは、ネットワークに接続しない限り、デバイスを監視および制御できません。
私がアドバイスをしなければならなかった場合、私はシステム管理者があなたが訪問するすべてのサイトを嫌うとは限らないので(たとえば、Spotifyを使用していることが彼らに怒るのではないかと思います)、あなたはそれらに話す必要があります。彼らが何を許可し、何が禁止されているかを確認し、それを尊重してください。ある種類のメッセンジャーを使用する必要があるときはいつでもそれを使用しますが、上司がプライベートな会話を避けたい場合は、モバイルデータまたは別の接続を使用します。
私の回答がお役に立てば幸いです。
それは会社次第だと思います。小さいものはおそらくしないかできません。大きなものにはリソースがありますが、何が危険にさらされているかという問題があります。
仕事で、通常HIPAAルールの対象となる個人データにアクセスする必要がある場合、マルウェアをダウンロードして失敗した場合、企業は訴訟を起こすことができないため、答えはおそらくイエスです。
会社に営業秘密や特許がたくさんある場合、競合他社に負けたくないので、答えはおそらく「はい」です。
会社の存続に不可欠な情報(投資家情報、市場の状況、人事異動、係争中の訴訟など)へのアクセスが必要な場合、企業はSECまたは裁判所からの罰金を支払うことができないため、答えはおそらく「はい」です。
従業員のインターネット使用状況を覗き見するために使用される一般的に利用可能な多くのツールがあります。パケットキャプチャ、プロキシサーバー、およびサーバー、ルーター、ワークステーションに組み込まれたソフトウェア。
覚えておいてください。あなたは仕事をするために支払われており、インターネットを閲覧したり、eBayの入札をチェックしたりしていません。あなたの仕事をして、あなたが必要な情報を得るために社外に出る正当な理由があります。
[〜#〜]はい[〜#〜]
会社から提供されたデバイスで自分のインターネットを使用しているかどうかは関係ありません。彼らは常にあなたを追跡することができます。
たとえば、システムにインストールされている多くのソフトウェアは、ブラウザで開かれた内容とすべてのWebリクエストの送信先を直接追跡します。 Activatrakのようなソフトウェアは、システムで何が行われているのかをユーザーに知らせることなく、これらすべてを実行します。
会社のルーターからインターネットを使用している場合、ネットワーク追跡ソフトウェアを使用して追跡できます。例 ワイヤレスネットワークウォッチャー
この追跡をオプトアウトできるのは、自分のインターネットを使用した自分のデバイスがある場合のみです。
それは、会社の規模と、ネットワーク/セキュリティインフラストラクチャへの投資額によって異なります。
インターネットを使用するときに認証が必要ですか?ソーシャルメディアやユーモアサイトへのアクセスを妨げるコンテンツフィルターはありますか?通常、ForcepointまたはBlueCoatメッセージが付属しています。
あなたが金融機関や政府で働いているなら、答えはおそらくイエスです。
彼らはあなたがアクセスしたURLとIPのリストを取得し、YouTubeで彼らはURLを見ることができ、そこからあなたが見たビデオを見ることができます。
社内メールとIMサービスが表示されます。
自分のコンピューターを使用するか、雇用主から提供されたコンピューターを使用するかは重要ですか?
はい。雇用主から提供されたコンピュータ/モバイルデバイスを使用している場合、それらはcan(必ずしもでなくても) )すべてのプログラムで、あらゆる種類のアクティビティを含むeverythingを参照してください。あなたが何かをしている間、彼らはあなたの画面を見ることさえできます。これは、ホームネットワークを使用している場合でも、雇用主からのプログラム/アプリを自分のコンピューター(VPNソフトウェアなど)にインストールした場合にも有効です。
使用するプログラムや、アクセスするWebサイトは重要ですか?
はい、いいえ。ハードウェアがあなたのものでない場合は、上記を参照してください。それがあなたのものである場合、あなたは仕事からアプリをインストールしていませんが、あなたは彼らのネットワークを使用します、彼らはまだ暗号化されていないプロトコル(HTTP、FTP、DNS、BitTorrent、...)で行われたすべてを見ることができます。ほとんどのサイトとプログラム/アプリは、あなたがオンラインで行っていることを公開することを本当に気にしていないことを覚えておいてください:それらは単にHTTPを使用します。
暗号化されたプロトコル(HTTPS、FTPS、SFTP、SSHなど)のみを使用している場合は、使用しているドメイン(プログラムに関係なく)と転送したデータの量のみを確認できます。ドメインは何度もあなたがしていることについて何かを明らかにするので、これはまだあなたをトラブルに巻き込む可能性があります。
ただし、安全なプロトコルを使用していても、使用するアプリが安全なプロトコルを正しく実装していない場合、データが表示される可能性があります。たとえば、(改ざんされていない)最新のブラウザは、会社がHTTPS接続を傍受しようとしたかどうかを検出しますが、他の一部のアプリ(ほとんどの場合)はHTTPのみを使用する場合や、証明書の有効性をチェックしない場合があります。
そしていつものように、あなた自身のモバイルを使用していても、モバイルキャリアネットワークでは、常にカメラや周りを覗き見することができます。