機密データのセキュリティ保護の What, Why, How

機密データの保護はあらゆる組織にとって極めて重要であるという議論に反対する人は誰もいないでしょう。ですが、言うは易く行うは難しで、実際に機密データを保護するとなると、大変な苦労を強いられます。

なかなか思うに任せず、結局は、データ侵害の最も一般的な原因はユーザーの資格情報の盗用であり、そのコストは平均437万米ドルに上るといった統計値が出てしまうのが現実です。

そこで、このブログで、機密データのセキュリティ保護に関する "What"、"Why"、"How"、つまり、対象、理由、方法を詳述したいと思います。

What: データ保護の対象

保護するべき「機密データ」として、何があるでしょうか？アカウントの資格情報やクレジットカード番号といったものは思いつくでしょう。氏名、生年月日、電子メールアドレスなども頭に浮かぶと思います。ただ、そんなところかなと思ったら、大間違いです。

基本的には、個人情報は機密データです。いろいろな捉え方があり、機密情報が入ったデータ、保護された医療情報 (Protected Health Information, PHI)、個人を特定できる情報 (Personal Identifiable Information, PII) も機密データです。

さらに、ビジネスの世界では、企業秘密、財務計画、研究開発資産などはすべて、機密性の高い情報と見なされます。意図しない開示はセキュリティ侵害を問われることになります。

以下に機密データと考えられるものを列挙します。

• クレジットカード/デビットカード情報
• 社会保障番号 (Social Security Number, SSN)
• クレジット履歴
• 人事レコード
• 知的財産と企業秘密
• アカウントの資格情報
• 連絡先の詳細
• 氏名
• 収入とローンの履歴
• 医療データ
• 生体認証識別子
• 職歴
• 入札情報
• 住所
• 信用格付
• 電子メールアドレス
• 人種または民族データ
• セクシュアリティまたはジェンダー情報
• 宗教的または哲学的信念
• 政治的意見

機密データに関する複雑さは緩和されることはなく、さらに複雑化していくでしょう。EU、米国、オーストラリア、ブラジル、など、国や地域によって機密データの取り扱いに関する規制基準も異なり、さらに業種によっても規制コンプライアンスを満たす必要がある場合があります。

⇒　プログレスのホワイトペーパー、「データプライバシーとコンプライアンス 国際ハンドブック」をご参照ください。

詳しくは、上記ホワイトペーパーに譲りますが、コンプライアンスを問われる代表的な規制には次のようなものがあります。

GDPR: 一般データ保護規則（General Data Protection Regulation）は、EU加盟28カ国が個別に保持していたデータ保護関連規制に代わるものとして、2018年5月25日に発効した、EU全体に適用される個人データ保護規制であり、その厳しさが後続のデータ保護規制のお手本になっています。

HIPAA: 医療保険の相互運用性と説明責任に関する法律 (Health Insurance Portability and Accountability Act) は、HIPAA という略称で呼ばれることが多いですが、電子医療記録の転送に関する国内基準と規制を定めたアメリカの法律です。

PCI DSS: クレジットカード業界データセキュリティ基準 (Payment Card Industry Data Security Standard) は、クレジットカード所有者のデータを処理、保存、または送信するすべての組織で採用されている国際的なデータセキュリティ標準です。

Why: データ保護の理由

データ保護の対象が多岐に渡ることは理解できたと思います。次の、データ保護の理由は、洗練されたデータ侵害がはびこるこの時代にあっては、今さら説明するまでもありませんが、あえてここに列挙してみます。

1: データ保護は信頼の保護

最近のデータ侵害の例は、データを保護できなかった失策が実際の被害額以上の損害を企業に与えていることを示しています。機密データの保護は、信頼のおける企業にとっては当然のことであり、データ保護の失敗は信頼の喪失につながります。信頼が失われれば、現在と将来の顧客が離れていき、その損益は最終的には壊滅的なものになるかもしれません。

2: あらゆる企業がサイバー攻撃のターゲット

多くの中小企業が犯す間違いは、自分たちのような小さい会社はハッカーにとって魅力的ではなく攻撃対象にはならないと思い込むことです。忘れてはいけないのは、悪意あるハッカーが画策した高度な攻撃に対抗するためのリソースやノウハウが不足している中小企業は、攻撃が成功しやすいという点でハッカーの標的になりやすいという点です。

大企業に関しては、その保有する機密データの質や量がハッカーにとって大きな魅力であり、様々な手段を講じて攻撃しようとするでしょう。

2017年に1億4,300万人の米国市民のデータが侵害されたEquifax のデータ侵害を覚えていますか？ 和解には、データ侵害の影響を受けた人々を支援するための最高額4億2500万ドルが含まれています。経済的、および評判失墜の打撃は計り知れません。

3: 天井知らずに上昇するサイバー攻撃の試み

39秒ごとに、 ウェブ上のどこかで新しい攻撃が発生しています。また、毎日行われるサイバー攻撃の 4,500件は常に成功しています。

トロイの木馬や悪質なアドウェアなど、毎日450,000の新しいマルウェアが作成されています。これらのマルウェアは、機密データを狙っています。

4: サイバー攻撃はますます高度化

ハッカーは、攻撃を高度化、効率化してデータ侵害の成功率を上げるための努力を惜しみません。自動化や AI 手法さえ採り入れて、より強力化、巧妙化しようとします。

2021年4月の Forbes の記事は、自動化されたボット攻撃の飛躍的な増加を警告しています。続いて、 International Security Journal (ISS) も、悪意あるボット攻撃の急増に注意するよう警告を出しています。残念ながら、これらの自動化された攻撃は、検出を回避する工夫も加えられ、ますます増殖していくことが予想されます。

5: 機密データの保護はコンプライアンスを満たすのに必須

最も明快な理由は、データ保護の規則があるからです。上記 GDPR、HIPAA、PCI DSS などは、データ所有者やデータ処理者に機密データの保護を義務付けています。アメリカを例にとると、機密データ所有者は、各種データプライバシー法で、機密データを盗難、侵入、または破壊から保護することを義務付けられています。

これらの規制コンプライアンスへの違反があれば、高額の制裁金などの罰則が適用されます。無知と怠慢は言い訳にはなりません。

6: 失職の恐れ

セキュリティ担当者は、データ侵害が生じた場合に責任を問われます。有名な Uber 2016 のスキャンダルでは、当時の最高セキュリティ責任者、Joseph Sullivan 氏は、5,700万人のユーザーとドライバーの個人情報のデータ侵害を隠蔽したとして起訴されました。ほかにも、Equifax、Yahoo、Target のトップレベルの幹部が、セキュリティ侵害の代償として職を失っています。を払っています。

データセキュリティの重要性が「技術者」の関心事と考えられていた時代は終わりました。データセキュリティは、今日では、全社的な関心事として、また組織のビジネスインフラストラクチャの重要な部分として扱われるべきです。

7: 道義的に正しいこと

悪意ある攻撃者から機密データを保護するという問題は、最終的にはモラルに帰着します。顧客の極めて個人的なデータがハッカーの手に渡って勝手に操作されるという事態を放置しておけますか？セキュリティ強化戦略を立ててしっかり対処できる方法があるのに、それを怠っていて平気でいられますか？

ほかの理由に鼓舞されないとしたら、道義的に正しいこととしてデータ保護を実行してください。

How: データ保護の方法

では、このブログの最大のポイント、機密データ保護の方法について詳述しますので、最後までおつきあいください。

1: 安全なファイル転送の要件を再確認

一番の基本は、まず要件を再確認してその要件を満たすソリューションを検討することです。例えば、機密データは、どういう状況のときに保護するべきでしょうか？保存中でしょうか、転送中でしょうか？答えは両方です。転送中のデータは保存中のデータほど多くの監視、コントロール、セキュリティは必要ではないかのような扱いをしている企業もありますが、実際は、転送中のデータは次のような様々なリスクにさらされています。

• 許可されていない USB や安全でない Web サイトへの安全でないデータ転送
• 過剰に与えられたユーザー権限に起因するデータ漏洩
• インターネット経由で送信されたデータパケットを傍受されるリスク
• パートナー、ベンダーなどの外部利害関係者に不必要なデータまで共有されてしまうリスク
• USB デバイスが盗まれたり、ストレージメディアに不具合があったりして発生するデータ損失

つまり、保存中も、転送中もしっかりとセキュリティ保護できるソリューションが必要だということです。

EDI (Electronic Data Interchange, 電子データ交換) は盛んに行われていますが、今日の才知に長けた狡猾なサイバー攻撃者は、こうした、媒体を介して転送される非構造化データをいとも簡単に傍受してしまいます。転送中の機密データをセキュリティで保護するには、構造化データも非構造化データも安全に処理できるプラットフォームが必要です。機密データを保護するための要件を確認していくと、それを実現できるのはマネージド・ファイル・トランスファー (Managed File Transfer, MFT) ということになります。

プログレスの MOVEit のような MFT ソリューションを使用すると、単一システムですべての転送アクティビティを表示でき、自動化も備わった安全なファイル転送環境を構築できます。

2: 徹底した暗号化

機密データをしっかり保護するには、徹底した暗号化が必須です。保存中、転送中の機密データを暗号化で保護することで、脆弱性を補完できます。在宅勤務などのオフィス外勤務で使用されるデバイスは社内ネットワークの保護の外に置かれますが、機密データを暗号化することで、盗難や紛失の場合でも、デバイスに含まれる機密データを部外者には解読できないようにすることができます。

また、暗号化をコインの一方の面とすると、その裏面には多要素認証 (Multi-Factor Authentification, MFA) があります。入り口を MFA で保護し、内部を暗号化で保護することで、厳格なセキュリティ保護が可能になります。

プログレスの MOVEit Transfer には、保存中、転送中の暗号化と、ユーザーアクセスを安全にコントロールできる最先端の MFA 機能が備わっています。さらに、ユーザーがどこにいてもどのデバイスからでもアクセスできるシングルサインオン機能で、より使いやすくなっています。

3: データセキュリティ対策の要はユーザー教育

どれほど優れたデータセキュリティプログラムを構築しても、実際の成果は使用するユーザーの心がけ次第で大きく左右されます。従業員の 71% がインスタントメッセージングやビジネスコラボレーションツールを使って機密性の高い重要なデータを誤って共有しているという、がっかりするような調査結果もあります。

そこで重要になるのが、よく考え抜かれたセキュリティトレーニングプログラムを展開することです。誰にでも理解しやすい内容でありながら、あらゆる観点から機密データを保護できるよう、十分に詳細な情報を盛り込む必要があります。組織内の全員が、機密データ保護のベストプラクティスを身につけるような展開を考えます。

4: 堅牢な BYOD ポリシーの作成と実装

個人所有デバイスの持ち込み (Bring your own device, BYOD) を許可し、BYOD ポリシーを策定する企業が増加しています。ある統計では、企業の 82% が社員に個人のデバイスを業務で使用することを許可しています。ですが、BYOD ポリシーがなかったり、あってもポリシーが緩やか過ぎたりすると、ハッカーが個人デバイスを攻撃に使用して会社のネットワークに侵入し、計り知れない大混乱を引き起こすことになる可能性があります。

個人所有デバイスの持ち込みと使用を許可する場合は、セキュリティを考慮した堅牢な BYOD ポリシーを作成し、実装する必要があります。以下のようなポイントをチェックしてください。

• サポートされている (およびサポートされていない) デバイスの種類
• 許可されたアプリと禁止されているアプリ
• 堅牢なセキュリティポリシー
• サービス/サポートポリシー
• 退職時に必要なプロセス
• デバイスのワイプに関する規則
• 利用規定
• ガイダンスと教材

5: 絶対に必要なものだけを保存

簡単なようで、あまり注意を払われないのが、必要なもの以外は保存しないようにするという点です。収集し、保存するデータが多ければ多いほど、それらを保護するために必要なリソースも増えます。多くの場合、企業は必要以上に機密情報を保持しており、データ侵害が発生した場合、顧客の受ける被害は大きくなります。ビジネスを維持するために絶対に必要な情報のみを保存するようにして、盗まれる可能性のあるデータ量を制限してください。不要なものは正しく廃棄する必要があります。

機密データのセキュリティ保護に最適な MOVEit

ここまで何度か言及したように、プログレスの MOVEit は、データセキュリティに関する業界のリーダーと認められています。転送中、保存中のデータを暗号化で保護します。パッケージ全体には高度なセキュリティ機能と実証済みの暗号化 ( FIPS 140-2 検証済み) が付属しており、ファイル操作時に必要な強力なセキュリティ層が追加されます。