行政機関のセキュリティ対策

多くの組織で、Office ドキュメントに機密データが保存されています。SkyHigh Networks (現在は McAfee が所有) が2,300万人のユーザーからのデータを分析し 、「クラウドベースのファイル同期および共有ソリューションに保存されているすべてのドキュメントの約15.8％に機密情報が含まれており、その情報の半分以上が Microsoft (MSFT) Office ドキュメントに含まれています。機密情報を含むドキュメントの約16％のうち、7.6％には企業の機密データが含まれています。」と、 レポートしています。

Office ドキュメントに保存されたファイルが電子メールで送信されたら、ファイアウォールやマルウェア対策ソリューションがあってもデータを保護することはできません。ファイルは、デフォルトで暗号化する必要があります。

このブログでは、Osterman Research のホワイトペーパー、「Cybersecurity in Government: Viewpoint 2021」で指摘された行政機関が留意すべきデータ保護のポイントをいくつか紹介します。

様々な行政機関への脅威

大規模な連邦組織から小さな町まで、様々な行政機関がありますが、たとえ小さな行政機関であっても、しっかりセキュリティ保護をすることなしにデータ侵害の脅威を免れることはできません。

行政機関はサイバー犯罪者にとって魅力的なターゲットです。上記 Osterman Research のホワイトペーパーは、「サイバー犯罪者は行政機関のセクターを探して、市民の信頼を傷つけ、重要な機密データを盗み、行政機関にある体系的なサイバーセキュリティの弱点につけこみます。」と、記述しています。

言うまでもなく、行政機関には住民に関する重要な機密データが膨大に保存されており、サイバー攻撃を受けるとその打撃は住民が被ることになります。その結果、住民からの信頼が損なわれますが、それは悪意あるサイバー犯罪者にとっては願ってもないことです。

「政府機関は、外国政府、他の政党、反対派、個人情報窃盗や標的型フィッシング攻撃のデータを求めるハッカーにとって価値のあるデータを保持しています。」と、Osterman Research は注意を喚起しています。

国家政府に限らず、地方自治体の行政機関も同様の重要な機密データを取り扱います。Osterman Research は「住民は、税務書類の提出、地方税の支払い、事業許可の申請などの日常的なやり取りの際に、行政機関に機密データを提供する以外に選択肢はありません。行政機関が行う業務そのものの性質上、機密性の高い、人や組織に関連する膨大な量のデータが蓄積されることになります。」と、指摘しています。

行政機関が取り扱うファイルには、住民の氏名、住所、電話番号、健康情報、経済状態、福祉関連の支払いの詳細など、重要な個人の機密データが含まれる場合があります。

電子メールの問題

電子メールは便利ですが、ファイル保護の観点からは大きな問題があります。メールは様々な目的で利用され、時には機密情報さえメールを使って転送されることがあります。使用機会が多ければ多いほど、間違いが入り込む可能性が高くなります。ハッキングもされやすく、暗号化されていない添付ファイルは簡単に読み取ることができます。Osterman Research のレポートは、この電子メール問題に言及し、ファイルの共有と転送のために電子メールを使用することの脅威をに警告しています。

機密情報を含むドキュメントを転送する主な手段としての電子メールを使用することは、元のデータを間違った人に送信してしまう、認証情報を盗まれて電子メールアカウントへの不正アクセスを許してしまう、添付ファイル（プロジェクト文書、住民の個人データ、組織の戦略試案など）に不正にアクセスされてしまう、など、多くのサイバーセキュリティの脅威を引き起こします。
メールサービスがクラウドに移行したことで、50GB や 100GB のメールボックスにアクセスできるようになりました。フィッシング攻撃、ブルートフォースパスワード、その他の多様な攻撃手法が使用され、多くのデータ侵害が電子メールアカウントを侵害されることに起因しています。

リスクの高い電子メールの代わりになる、ファイル保護を確保しながら簡単にファイルを転送できるより良い手段として、マネージド・ファイル・トランスファー (Managed File Transfer、MFT) ソリューションが存在します。MFT は、機密データを含むファイルの転送中も保存中も暗号化でセキュリティ保護するので、正当な受信者でないとファイルの内容を確認できません。また、ファイルはメールアカウントにはは保存されません。

MFT を導入した行政機関の成功事例

多くの行政機関が、マネージド・ファイル・トランスファー・ソリューションを導入して、セキュリティ強化に成功しています。MOVEit を導入した３つの事例を紹介します。

ミルウォーキー郡

多数のファイル転送手法が混在していたミルウォーキー郡では、公共サービスを充実させるために技術面での効率化を目指し、ファイル転送を一元管理するためのエンタープライズソリューションを探すことにしました。要件は、ミッションクリティカルなデータ転送をサポートするだけでなく、そのデータを追跡可能にし、データを安全に保護できる単一のソリューションを実装することでした。多種多様なデータシステムとプロセスを迅速にシステムに取り込んで統合する機能が最も重要でした。複数のベンダーを徹底的に評価した後、プログレスのマネージド・ファイル・トランスファー・ソリューション、MOVEit を選択しました。サイロ化された郡の部門で使用されている数十のファイル転送ソリューションでは、手動作業、カスタムコーディング、膨大な時間のコミットメントが必要でした。

「たくさんの機能がとても気に入っています。開発者としての私の感覚として、その API 機能を使用するのを待ちきれません。総合的に言って、MOVEit は、非常に堅牢で機能豊富なファイル転送ツールです。」 -- Ilija Lukic 氏、アプリケーションアナリスト III、ミルウォーキー郡

MOVEit を導入すると、ミルウォーキー郡の IT 部門は、すぐに以前との違いを実感しました。毎日、色々な部門が MOVEit を使い始めるようになり、ファイルを手動で転送したり、環境とシステム間のファイル転送を処理するためにアプリケーションでコードを記述したりする必要がなくなったことに満足しています。

ケンブリッジシャー州議会

ケンブリッジシャー州議会は、ケンブリッジシャー州の５区、６０選挙区から選出された州議会議員から成る英国の地方議会です。

ケンブリッジシャー州議会がマネージド・ファイル・トランスファー・ソリューションを導入する前は、議会のユーザーは公共機関の間でデータを転送するのにガバメント・コネクト・ゲートウェイを経由するか、汎用の FTP ソリューションを使っていました。多くの職員は、これらを不格好で非効率的、かつ使いづらいと考えていました。医療データ、社会保障データ、育児関連データなどの機密情報を緊急サービスや住宅供給協会といったサード・パーティーと共有する手段がないことも、問題としてひんぱんに指摘されていました。そのほかにも、コントロール、効率、セキュリティの問題も報告されていました。メンバーは10ギガバイトを超える暗号化されたCDファイルを宅配便で送るようなこともあり、複雑で時間がかかり、費用もかさみます。

州議会は、次のことができる安全なマネージド・ファイル・トランスファー・ソリューションを必要としており、最適なソリューションとして MOVEit が選択されました。

• サード・パーティーとのセキュアなファイル転送が速やかに簡単に実現できるシンプルなソリューション
• 金銭取引情報や介護施設・教育機関・刑務所などに関連する記録といった機密性の高い情報の漏洩を防止
• トレーニングが不要またはごく簡単で、スムーズに完全実施
• 州議会とサード・パーティーの間のファイルの移動を完全に視覚化
• 情報コミッショナー・オフィスが指定した規制ガイドラインに適合
• 大容量、または大量のファイルの共有のためのより効率的な暫定的ルート

ケンブリッジシャー州では、MOVEit を3通りに使っています。1つは、既存のガバメント・コネクト・ゲートウェイではセキュアな接続ができなかったサード・パーティーへの情報転送です。これには住民に関するレポートや業者との契約交渉も含まれます。2つ目は、第三者が州議会に情報を送るときに使う方法です。州議会議員が『返信先記入済み封筒』のような形で送付した枠組みにドキュメントを入れてセキュアに返信できます。最後に、電子メールより MOVEit の方を好むユーザーが多いので、大容量ファイルや大量のファイルをシンプルかつ迅速に送付するのに使われています。

ザンクト・ガレン州警察

スイスの州警察は、他州の当局、スイス連邦政府、さらに近隣諸国と緊密に協力しています。ザンクト・ガレン州の場合、スイス連邦政府との階層的協力関係に加えて、近隣のアッペンツェル・インナーローデン準州とアッペンツェル・アウシュルローデン準州の警察と密接な関係があります。スイス内では、連邦レベルのすべての機関がネットワーク化されています。

ザンクト・ガレン州警察が使っていたシステムは、セキュリティとコンプライアンスに関して最新の制約を満たしておらず、しばしば問題が起こったため、管理に多くの時間がとられました。そのため、管理コストを削減し、安全に転送できる新しいシステムを必要としていました。

ザンクト・ガレン州警察が導入した MOVEit Transfer と MOVEit Automation は、集中管理型のファイル転送プラットフォームの要件を完全に満たしています。複数の個別ソリューションを、すべてのファイル転送を集中管理できる１つの効率的なソリューションに統合することができました。MOVEit Automation を使用して、重要なアプリケーションに関連するファイル処理を自動化し、管理コストを大幅に軽減することができました。システムを介した交換は完全に暗号化されており、従来のソリューションよりもはるかに安全です。

セキュアなマネージド・ファイル・トランスファー・ソリューションで行政機関の機密を保持

多くのデータ侵害は、ファイルを転送する際に発生します。プログレスのマネージド・ファイル・トランスファー・ソリューション MOVEit を使用すると、機密性の高い個人データの安全なコラボレーションと自動ファイル転送を確立できます。転送中、保管中の暗号化と転送アクティビティの追跡も提供されます。

デフォルトとして、オフィスの外に送信されるすべてのファイルは、安全で追跡可能な方法で処理する必要がありますが、それを実現できるのが MFT です。

安全で使いやすい MOVEit を導入することで、リスクの高い電子メール送信や、安全でないファイル共有サービスの使用を回避できるとともに、自動化によってユーザーのエラーを排除できます。また、すべてのファイル転送アクティビティの詳細を追跡、報告することができます。

行政機関で MOVEit を使用するメリット：

• 生産性の向上: 職員は、あらゆるサイズのファイルを社内外のユーザーと簡単、安全に共有可能
• コンプライアンス報告の容易さ: GDPR、PCI、SOX、Basel I/II/II、MiFID II などの規制コンプライアンス
• データ損失リスクの軽減: データ転送の可視性、コントロール、セキュリティ、監査性の向上

MOVEit は、パスワード付き ZIP ファイル送信 (PPAP) にかわるファイル転送ソリューションとしても最適です。