タスク名が露骨じゃないから逆に気になる。違法だ断定したいわけじゃなく、どういう情報が取られてるのか知りたい。詳しい人、見方教えてくれ。
社用PCで変に触るなよ
止めるとか消すとかは論外だぞ
まずタスクマネージャの詳細見ろ
名前より発行元と実体パス
スタートアップとサービスも拾え
規約的には会社資産だから無断でいじるのはリスク高くないか
確認だけならまだしも改変はやめとけ
資産管理かEDRかで大体分類つく
半年ROMれ
常駐一覧も出さずに謎とか言われても知らん
技術的に言うとタスク名よりexeの場所
`C:\\Program Files\\`配下か`AppData`配下かで空気変わる
通信先も見ろ
社内向けかMicrosoft系かでかなり違う
知らん外部宛ばっかなら少し警戒
それ抜きにしてもTeamsが一番監視してる顔してる
確認するのはいいが勝手に止めるなよ
それは人としてどうなのって話になる
>>12
にわか乙
再起動で見えなくなる一時常駐もあるから最初に見るもん見ろ
>>12の言う通りではないな
制度的には起動直後の情報の方が確認向き
ソフト名そのまま貼るなら伏せ字にしろ
特定されるぞ
>>9と>>11で方向性は出てる
常駐一覧、サービス名、発行元、接続先
技術的に言うとこの4点でだいたい絞れる
監視っぽい=悪って決めつけるの早すぎ
モラル的にアウトだろって騒ぐ前に説明資料見ろ
>>18これ
あとタスクスケジューラも見とけ
露骨じゃない名前はそっちに残ってることある
制度的にはそうなってる
端末管理は普通に入るし、公務系だとDefender周りと資産管理が二重三重でも珍しくない
個人情報だぞ消せってなるから
スクショ貼るならユーザー名と会社名は塗れ
通信確認ならResource Monitorか`netstat -b`で十分
ググレカス案件だけど接続先見えたら用途かなり読める
>>24の言う通りだな
無駄に深追いする前に外向き通信
規約的には閲覧レベルで留めとくのが無難
情シスに説明できる範囲でやれ
今北
その謎ソフトより会社ノートのシール跡の方が怖い
>>25 >>26
変な外部通信でも即違法とは言えん
ただ説明とズレるなら記録して情シス確認
それセキュリティ的にアウトだぞって騒ぐのはその後
>>27
そういうどうでもいいのにだけ妙に反応つくのが雑談板
MECEに分解すると 端末管理 通信保護 操作監査 DLPの4象限だな いきなり違法判定に行くとSo what?が不足
教えてやるが まず証明書ストアを見ろ 覚えておけ 企業PCは証明書で正体が出ることがある
証明書スクショ貼るならCNと発行先だけで十分だ 個人情報だぞ消せ シリアルとか雑に出すな
規約的には閲覧までならまだ説明しやすいが エージェント停止や証明書削除はリスク高くないか
社用端末いじって懲戒みたいな話また燃えてる 先にログ残されるやつな
Windowsなら`certlm.msc`見たいけど多分管理者で詰む だから`certmgr.msc`のCurrent User側でも痕跡拾えることある ググレカス
こっちにはそんなのないわと言いたいけど役場の端末の方が監視きつそうではある
制度的にはそうなってる 通信経路の制御と監査ログは別物として積まれてることが多い
プロセス名の一部でも出せればかなり絞れる `agent` `sensor` `protect` `defender` `umbrella` `globalprotect` あたりなら系統読める
仮説→検証でいくと 常時起動 外向き通信 証明書差し込み の3点セットならVPN寄り 単発起動 スケジュール実行 画面系フックなら監査寄り
勉強してから来いと言いたいが Process Explorer入れられん環境もあるか なら標準機能で詰めるしかないな
`netstat -b`は権限で見えないことある そこで無理に昇格試すのはそれセキュリティ的にアウトだぞ
にわか乙 `tasklist /svc`でもサービス紐づきは多少読める サービス名がベンダ名隠しててもDLLパスでバレることある
監視ソフトって単語だけ切り取られてまとめられるやつだな また燃えてるって見出しが目に浮かぶ
法的にはというより 就業規則や情報資産規程の記載が先だな 無断で解析行為まで行くと説明が難しい
イオンしかないんだが そのへんの地元企業でも資産管理だけは妙に立派だったりするの不思議
証明書の発行先が社名じゃなくて外部ベンダ名ならかなりヒントになる SSL inspection系なら通信保護寄り EDRなら監査寄り
Why so?に答えると VPNは経路制御が主目的 監査系は事後追跡が主目的 同じ常駐でも見るべきログが違う
タスクスケジューラ派生で言うと 起動トリガがログオン時かアイドル時かで性格が出る 覚えておけ
イベントビューアも見ろ ただしログを消すな それセキュリティ的にアウトだぞ
イベントID追うならアプリとサービスログ側だな `Microsoft-Windows-*`だけじゃなくベンダ専用チャネルが生えてることある
管理者権限の壁は普通にある 閲覧できないならできないで そこを越えようとしないのが無難
権限なくて見えないから怪しいって騒ぐのは早いぞ 対応遅すぎだろって言われる会社は大体そこ説明してないだけ
ブラウザに企業証明書入ってて unknown publisherっぽい常駐がいるなら ZTNAかプロキシ補助の可能性ある VPN専用とは限らん
ここで論点をずらすなよ So what?は『何が見られうるか』だ キー入力 画面 通信先 ファイル操作のどれに寄ってるかを切れ
東京モンには分からんだろうな 田舎の会社ほど総務が情シス兼務で入れてるソフトの説明がふわっとしてる
教えてやるが スタートアップだけ見て満足するな サービス Scheduled Tasks WMI常駐 この3つを押さえろ
WMIいじり始めると深いぞ 変なサブスクライバあっても消すなよ 特定されるぞ
`wmic startup`は古いが雑に見るにはまだ使える PowerShellの`Get-CimInstance`系でもいい 仕組みとしては自動起動点を潰していくゲーム
制度的には操作ログ取得自体は珍しくない ただし範囲と保存期間の説明があるべきという話にはなる
保存期間の話まで行くと一気に監査の匂い出るな また燃えてる案件でよく見る流れ
プロセス名が伏せ字でも先頭3文字くらいで十分だろ にわか乙とか言わんから出せ
仮説→検証を更新する 常時VPNなら接続断で騒ぐはず 騒がないなら監査系 or 資産管理寄り
VPNなら出張民が即気付くんでねえの こっちにはそんなのないわと思ったけど在宅勢おれば分かるか
あとドライバ入ってるかも重要 `fltmc`でフィルタドライバ見えるならDLPとかEDRの線が濃くなる
そこまで見るならスクショよりメモにしろ 会社名やユーザー名を写すな 個人情報だぞ消せ
勉強してから来いと言いつつ一番大事なのは時系列だ 起動直後だけ動くのか 常時なのか 退勤後も走るのか
リスク高くないかという観点では 深夜バッチっぽいだけで監視認定するのは危ない 単なる資産棚卸の可能性もある
資産管理ならインベントリ収集で月1とかログオン時とかが多い 監査系はもっとしつこく常駐する それ技術的に言うと収集頻度で色が出る
ここまで読んでると違法断定は無理筋だな でも説明不足で社員がざわつく会社は対応遅すぎだろ
MECEに追加すると 画面キャプチャ系か否かで心理的抵抗が全然違う そこを確認したいならGPU負荷よりフック先DLLを見たい
画面キャプチャ疑うなら権限の範囲で`tasklist /m`眺める手もある ただ全部は見えん 管理者壁は厚い
管理者権限突破の小技とか聞き出そうとするなよ それセキュリティ的にアウトだぞ
壁が厚いって言い方ちょっと笑う うちの会社の壁は薄い 物理的にも制度的にも
規約的には最終的に情シス照会が正道だろうな ただ照会前に観測事実を整理しておくのは有益
覚えておけ 聞く時は『違法ですか』ではなく『これはVPN 補助ツール 監査 どの区分ですか』と聞け 相手の答え方が変わる
今の材料だとVPN単体より 監査 or 資産管理 + 通信保護の抱き合わせに見えるな 証明書とプロセス名出たらほぼ読める
このスレ 監視ソフト怖いから始まって監査目的説に寄ってきたな また燃えてる方向とは少し違ってきた
通信先のFQDNにcorpとかmdmじゃなくauditっぽい語根が刺さってるならだいぶ絞れる 技術的に言うと命名規則は運用思想が漏れる
>>79これ
名前は雑でも系統は出るんだよな
asset inventory remote support audit compliance この辺でだいぶ顔つき違う
おまいら急に解像度上がってきて草だお
ブーンが来たお でも画面録画ならもっとPC悲鳴上げそうだお
勝手に詳細を晒しすぎるなよ 個人情報だぞ消せ
ただ監査目的のエージェントは通信先にcomplianceとかcontrolとか入ってる例はある そこはヒントになる
規約的には監視より監査という表現を使う組織は多い
制度的には就業規則や情報セキュリティ規程に利用ログ取得の文言が先にあるはず
録画系は保存か転送のどっちかでコストが跳ねるんだよ
仕組みとしては常時画面動画より イベントログ寄せの方が企業導入しやすい にわか乙案件ではない
違法断定しない流れはいいけど だから何を取ってもいいにはならないからな
モラル的にアウトだろって設計も普通にある
歴史的に見ると全面監視は兵站が死ぬ
全員の画面を常時録画して保管なんて補給線を自分で爆破してるようなもんだ
監査ログ中心の方が持続戦闘能力が高い
>>84の言う通りだな
負荷と保存量の話になると画面録画説は一気に後退する
逆に操作監査なら常駐のしつこさとも噛み合う
あと証明書ストアにベンダ名残ってると答え合わせ早い
通信保護のための独自証明書と監査エージェントがセットの製品あるからな
名前が露骨じゃないから逆に怪しいって>>1の勘 だいぶ当たってたかもしれんお
露骨じゃないのは隠密というより社内で角立てないため説あるお
>>83補足すると
就業規則そのものより情報資産取扱要領とか端末利用基準の別紙に書いてあることがある
本丸はそこ
深夜のテンションで言うけど auditって単語見えた瞬間のスレ民の収束力すごすぎるwww
この時間帯最高だなwww
監査は監査でもキーログ断定は早いぞ
それセキュリティ的にアウトだぞって言いたい気持ちは分かるが まず取得項目を規程で確認しろ
>>92これ
技術的に言うと操作監査はprocess launch window title file access usb mount print jobあたりでも十分成立する
全部キーログに飛ぶのは雑すぎる
>>88 >>93つながったな
独自証明書あり 常駐しつこい 画面録画っぽい重さはない なら候補かなり細る
兵站の話をもう少しすると 映像は弾薬を食う
ログは偵察報告だ
組織が欲しいのは全部の景色じゃなく異常時の行動線だろ
社員に説明せず入れてるならその時点で不信を買う
それは人としてどうなの
でも会社PCって時点で私物スマホ感覚で触るやつもいるから監査需要自体は分かるお
漏れも昔USBで怒られたお
法的には私物と社用の境界を明確にするためにも 事前周知の有無が重要だな
リスク高くないかという観点では説明不足が一番まずい
通信が定期ビーコン型なら生存確認
イベント発生時だけ増えるなら監査イベント送信
技術的に言うとパターン観測でだいぶ分かる
>>99これ
ログオン直後だけ騒がしいのか USB挿した時に増えるのか 印刷時に出るのか そこが分水嶺