データ侵害の脅威は日々増加しており、賢明な IT 部門では後手に回らないよう積極的なデータ保護対策を試みています。安全対策の中で、比較的なおざりにされがちなのは、安全なファイル転送という視点です。
ファイルの暗号化や、ファイル転送アクティビティのコントロールと可視化によって安全性を向上させる必要があります。Osterman の “What Decision-Makers Can Do About Data Protection” report では、データ侵害の脅威を統計値で示しています。
侵害されたデータの種類
次のグラフは、Osterman Research の上記レポートからのデータで、侵害されたデータの種類と、企業でどの程度侵害が発生しているかを示すものです。
グラフにあるデータのどの種類でも、侵害されたら重要な問題を引き起こします。社員の個人データの流出は社員の会社への信頼を失わせます。知的財産は企業の生命線であり、競合他社やサイバー犯罪者が欲しがる資産です。最悪なのは顧客の個人データで、会社へのダメージは計り知れません。
データ侵害の発生場所
社員は、最も価値のあるデータがどこにあるか、どうすれば取得できるかを知っています。Osterman のレポートでは、 「組織にとってデータ損失の根源が従業員であることはよくあります。いわゆるインサイダー脅威には、過失や不注意によるデータ損失と、様々な動機から不満を抱えた従業員の悪意によるデータ損失が含まれます。ただし、注意深い組織であれば、データ保護に関わる問題の兆候を事前に検知できます。」と述べられています。
Verizon は何年にもわたって従業員や他のインサイダーによる脅威を追跡しており、インサイダー脅威に関する深い知見を持っています。Verizon の、The Risk of Insider Threat Actors というブログでは、 「組織の内部から発生する脅威がインサイダー脅威です。通常、許可されたアクセスを意図的または意図せずに使用した人が、組織のネットワーク、データ、またはデバイスを危険にさらします。重要な点は、アクセスが合法であるということです。これらはブルートフォースハッカーではありません。」と説明しています。「組織にとって最も深刻な脅威は外部からの攻撃ですが、インサイダー脅威も無視できません。データ侵害調査レポートによると、2019年のデータ侵害の30%以上はインサイダーによるものでした。」
外部からの攻撃は、ネットワーク内に侵入するために悪用可能な弱点を必要としますが、インサイダーは、エンドポイントシステム、サーバー、ネットワーク、ドメインへの正当なアクセス権を持っている場合が多く、比較的簡単にダメージが大きい攻撃ができてしまいます。
データ侵害の増大
データがあれば、常にデータ侵害の可能性はありますが、データがファイルキャビネットに保存されていた時代とは違って、電子化されたコンピュータファイルを盗むのに現場に行く必要はありません。「データ漏えいは増加傾向にあり、2020年の第1四半期には、過去7年間の第1四半期の漏えいの合計数よりも多くの漏えいが発生しました。2020年の第1四半期に発生した1回の大規模な侵害では、50億件を超えるレコードが侵害されました。」と、Osterman のレポートは伝えています。サイバー攻撃は高度化し、毎日どこかでデータ侵害が発生しています。
データ保護はコンプライアンスの要件
データ侵害そのものも大きな問題ですが、コンプライアンス違反に問われるデータ侵害の場合は経済的な損失も莫大です。世界中で厳しいプライバシー規制が導入されていることが、データ保護アプローチの強化につながっている、と Osterman レポートは指摘しています。
コンプライアンスを要求するルールの数は増え続け、厳罰化しています。Osterman レポートは次のように説明します。「プライバシーは世界的なトレンドであり、組織にデータを保護する重大な義務を課します。無視したり、制約を満たせなかったりした場合は高額な制裁金が課されます。ヨーロッパの GDPR、カリフォルニアの CCPA、米国の医療業界向けの HIPAA、ニューヨーク金融機関向けの NYDFS サイバーセキュリティ規制、その他の世界中のデータ保護規制は、設計によるデータ保護の重要性を高めています。新しいプライバシー規制は、個人データや機密データを収集、処理する組織の拠点ではなく、データ主体がどこに在籍するのかに焦点を当てる方向にシフトされています。」
安全なマネージド・ファイル・トランスファーの効用
ファイルが移動するときは、データ侵害のリスクが高まります。侵害されたデータがEU居住者のものであれば、GDPR の調査が入り、多くの場合、罰金が科せられます。プログレスのマネージド・ファイル・トランスファー(MFT)ソリューション、MOVEit を使用すると、機密性の高い個人データを安全なコラボレーションを確立して転送できます。機密データを含むファイルが安全に移動され、GDPR、PCI、HIPAA への準拠を確実にするための暗号化とアクティビティ追跡も可能です。
コンプライアンス要件を満たすには、社外に送信されるすべてのファイルを、安全で追跡可能な方法で処理する必要がありますが、それを実行できるのが MFT です。
MOVEit は、安全なだけでなく使いやすさも備えているため、社員が安全でない電子メールやファイル共有サービスを使って機密データを含むファイルを転送することを防ぐことができます。ユーザーエラーを排除する自動化機能も有用です。すべてのファイル転送アクティビティの詳細を追跡および報告できます。
データ保護計画
貴重なデータ資産を適切に保護するためには、全社を巻き込む計画が必要です。 「データ保護の課題に対処するには、意思決定者による積極的な対応が必要です。組織全体への徹底的な監査を実施し、取締役会でデータ保護計画を提案して承認を得ます。ベストプラクティスを実装し、トレーニングとテクノロジーを使用して保護を強化し、データ保護リスクの軽減を追求するべきです。」と、Osterman レポートはアドバイスしています。
機密データの調査
計画は、検出プロセスから始める必要があります。組織全体でどのような種類の機密データが作成、受信、保存、処理されているのか、どこに保存されるべきで、どこに置かれてはならないか、適切な保護がなく間違った場所にある機密データが見つかったか、誰がアクセスできるべきで誰がアクセスできるべきでないか、アクセス権のコントロールはしっかりできているか、などを調査する必要があります。
「機密データは、アクセスコントロールがしっかり行われ、使用制限も備えた慎重に保護されたシステムに保存されることが通常です。ただし、データがそういったシステムからエクスポートされる(顧客のセグメンテーションやマーケティングキャンペーンの強化といった正当な理由であっても)と、データのコントロールが簡単に失われてしまいます。機密データを電子メールメッセージや添付ファイルとして送信してしまうと、機密データの攻撃対象領域が広がります。電子メールアカウントやクラウドストレージアカウントが侵害された場合、脅威が増大します。」と、Osterman レポートは警告します。
ベストプラクティスを実装
計画が策定され、機密データの調査が終わったら、ベストプラクティスを実装します。
Osterman レポートは、次のように示唆します。 「企業データリポジトリへのアクセスは、一般的なアクセス許可、各アクセスセッションのリスクを考慮した条件付きアクセスルール、多要素認証などを組み合わせて使用して、慎重に管理する必要があります。企業データリポジトリは企業データに対してのみ使用する必要があり、バックアップが作成された場合は、バックアップデバイスに対する十分な保護を実施します。企業データリポジトリからデータをエクスポートすると、不注意なまたは悪意あるデータ使用のリスクが大幅に高まります。CSV エクスポートを使用したアドホックな統合ではなく、システム間の安全な統合を使用することで、可能な限り阻止する必要があります。」
暗号化
ベストプラクティスは、恐らく暗号化でしょう。強力で使いやすい暗号化を備えたマネージド・ファイル・トランスファー・ソリューションを採用すれば、堅実なデータ保護が可能になります。「データ形式と参照整合性を維持し、データを復号化せずに保護された状態で使用できるようにする手法を使用してデータを暗号化するソリューションを探してください。」と、Osterman レポートはアドバイスしています。「機密データを使用するアプリケーション、およびデータベース、データレイク、分析プラットフォーム、構造化された形式のデータを使用するその他のリポジトリには、個人データや高価値データを保護するフィールドレベルの暗号化が有用です。」
外部ファイル転送のリスク
組織は、外部組織と通信する必要があり、多くの場合、外部組織にファイルの形で重要な情報を送る必要が生じます。外部ファイル転送は、サイバー犯罪者によって傍受される可能性があり、また、不正やミスによってアクセスを与えられるべきでない人がアクセスできてしまう可能性もあります。
エンドユーザーに危険を警告するポリシーを作成したり、安全だと思っているファイル共有ソリューションや FTP(ファイル転送プロトコル)システムを使用することですることで外部データ転送を保護しようとする企業はたくさんありますが、これらの手法はいずれも、GDPR のセキュリティ要件を満たしません。最良のオプションは、MOVEit などのセキュアな MFT ソフトウェアです。
GDPR コンプライアンスを満たすためには、コンプライアンスを証明する必要があります。これは、アーカイブ可能なデータベース内の認証アクションを含むすべてのファイル転送アクティビティを追跡する MOVEit マネージド・ファイル・トランスファーを使えば問題なく達成できます。
MOVEit を導入すると、エンドユーザーは、会社の機密データを共有するのに、安全でない方法に依存することなく、使いやすくて安全な方法を取ることができます。さらに、ファイル転送ワークフローを自動化することで、人的エラーを排除しつつ効率化も実現できます。
Doug Barney
Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.
