ウィーンを拠点とする非営利団体 Cracked Labs のレポートによると、ビジネスにおけるサイバーセキュリティとコンプライアンスに関する正当な懸念への対策として提供されているソフトウェアが、従業員を脅威とみなして職場での侵害的監視が常態化しているという。
Cracked Labs が 8 月 27 日に発表した「リスクとみなされる従業員」と題されたこのレポートは、Microsoft が提供しているソフトウェアと、以前は Forcepoint が提供していたソフトウェアを対象としたケーススタディをまとめたものである。具体的にはセキュリティ情報イベント管理(SIEM)とユーザーとエンティティの行動分析(UEBA)のアプリケーションがその対象だ。
これは継続中のプロジェクト「職場での監視とデジタルコントロール」で発表された一連のレポートの一部であり、職場における広範な情報収集が理由もなく従業員を容疑者にしてしまう仕組みを検証している。
「情報セキュリティ、企業情報の保護、不正行為や窃盗の防止、規制要件および組織ポリシーの遵守、それぞれの間の境界があいまいになりつつある」とレポートは指摘している。
この調査は 2021 年から 2024 年初頭にかけて、Cracked Labs の研究者であるウォルフィー・クリストルによって実施された。2023 年後半、(調査対象となった Behavioral Analytics および Insider Risk ソフトウェアを提供していた)Forcepoint の公共部門向け事業だった Forcepoint Federal は、プライベートエクイティ投資会社 TPG に売却され「Everfox」に社名を変更した。
Everfox の現在のインサイダーリスク・ソフトウェア [PDF] が Forcepoint の Insider Risk Solutions と Behavioral Analytics を基盤としていることを確かめようと Everfox に問い合わせたが回答は得られず、同社はコメントを控えた。
クリストルはこのレポートの目的は、オンラインアクティビティの履歴から収集されるデータ量と、組織が利用できる通信データが増加していることを踏まえて、職場監視の適切な範囲について疑問を投げかけることだと The Register誌に対して語っている。
「どのようなデータソースや行動プロファイル作成が、どのような目的のために本当に必要であり、その収集が相応であると言えるのでしょうか」とクリストルは問いかけた。「どのようなリスクがあり、ベンダーや雇用主は誤用を防ぐためにどのような安全策を講じているのでしょうか」
「Microsoft Sentinel や Microsoft Purview、Forcepoint Behavioral Analytics(Everfox)のようなソフトウェアは、従業員の行動や発言をすべて監視することができる」とレポートは指摘している。従業員の行動を監視し、上司によるさらなる精査のためにフラグを立てることすらできる。
さらに、「予測的ポリシング技術と同様に、(これらのアプリケーションは)インシデントを検知するだけでなく、インシデントが発生する前にそれを防止することを約束している」という。「組織は正当な目的でこのようなソフトウェアシステムを使用することができるが、この調査はそのシステムの従業員に対する潜在的な影響に焦点を合わせたものである」
クリストルはレポートの注目点の一部を以下の通り概説した。
