カレンダーの管理、消耗品の注文、会議室の予約など、これらすべてのありふれたオフィスタスクをAmazonの音声起動仮想アシスタントであるAlexaにアウトソーシングすることを想像してみてください。 Amazonの新しいAlexafor Businessを使用すると、その幻想は実現する可能性がありますが、深刻なセキュリティリスクを犠牲にする可能性があると一部のサイバーセキュリティ研究者は述べています。考えてみてください、企業スパイとハッキング。
木曜日に、Amazonは人気のある仮想アシスタントAlexaの新しいエンタープライズバージョンをデビューさせました。これは、Amazonのインターネット対応スピーカーであるEchoと連携します。 Alexa for Businessは、電話をかけることから、空港にいつ出発すべきかを判断することまで、あらゆることを行うことができます。
しかし、ホワイトハットハッカーのWilliam Caputは、Alexa forBusinessは企業にとって潜在的なセキュリティリスクであると警告しています。企業の侵入テストを実施するCaputは、次のような常に耳を傾けるデバイスについて述べています。 スマートテレビ バーチャルアシスタントは、データマイニングなどに使用するために、製品の親会社にデータを送信します。
「特定の種類のデータ送信が発生しないことを示す明示的な使用ポリシーがない限り、企業がこのようなものの使用を検討することは非常に単純なようです」とCaput氏は言います。 「使用する前に、厳密なハッキングテストを実施し、何がリッスンされ、何が送信されているかを把握する必要があります。」
アマゾンリスニングイン
Alexaは電話やカレンダーなどのIT資産と統合できるため、FidelisSecurityのTimRoddyは、一部のデータはAlexaのインフラストラクチャに保存されると述べています。これは、一部の会社データがAmazonによって保存されるか、Amazonに送信されることを意味する場合があります。
Caputによれば、特にAmazonには、ターゲットを絞ったマーケティングで使用できるキーワードを聞いて収集するインセンティブがあります。は ウォールストリートジャーナル lは、ユーザーが「Alexa」という名前を使用してデバイスを「ウェイク」しない限り、Echoスピーカーはクラウドにデータを送信しないとAmazonが主張していると報告しています。しかし、Caputは、Alexa for Businessはまだセキュリティコミュニティによって厳密にテストされておらず、潜在的なリスク、セキュリティホール、および脆弱性は不明であると述べています。
企業スパイ
企業は企業スパイを実施して、取引に足を踏み入れたり、技術の進歩に優位に立ったりします。 Uber-Waymo 自動運転車の企業秘密事件。 Caput氏によると、接続されたデバイスのセキュリティプロトコルは最小限であるため、ワイヤレスデバイスはこの目的に利用するのに理想的なツールです。 「競合他社がデバイスをハッキングする可能性があります」とCaput氏は言います。 「私はコンピューターを制御し、公開されているツールを使用してWebカメラまたはワイヤレススピーカーにアクセスできます。」
政府のハッキング
スザンヌ・ソマーズ純資産2016
政府の詮索もリスクです。 「国家安全保障局に耳を傾けてもらうことができます」とCaputは言います。 「あなたはエド・スノーデンが発見したセキュリティ装置全体を持っています-デバイスの不当なタッピング。」
これらのリスクは厄介に聞こえるかもしれませんが、サイバー研究者として、Caput氏は、接続されたデバイスが企業のセキュリティプロトコルに違反するための好ましい方法であると述べています。 「それは陰謀説ではありません」と彼は言います。 「私はこれらのタイプのハッキングを見たことがあるか、モノのインターネットデバイスを使って自分でハッキングを行ったことがあります。」
Rick McElroyは、Alexa forBusinessのような新しいテクノロジーを導入する価値があるかどうかについて企業が独自のリスク分析を行うことを提案しています。 「このテクノロジーの価値はリスクを上回っていますか、それとも相殺していますか?」とサイバーセキュリティ会社のカーボンブラックのセキュリティストラテジストであるマケルロイは言います。 「答えが「はい」の場合は、更新が利用可能になったときに継続的にパッチを適用し、サイバーセキュリティのベストプラクティスについて従業員を教育するために、協調して努力する必要があります。」
