クラウドを利用したファイル転送におけるデータ保護

クラウドを利用したファイル転送で安全にデータを保護できるのかどうかに関して確信が持てない人がいるかもしれませんが、このブログではクラウド共有のセキュリティに関して考察したいと思います。

IT ビジネスを展開する際、重要な２つの達成日があります。最初の日は実際にビジネスが確立した日ですが、第二の達成日は、ビジネスでそのシステムを保護する技術が確立したとみなせる日です。そのためには、オフィスオートメーション、知識管理、そしてクラウドストレージシステムを保護できる必要があります。最後の、クラウドストレージの保護は、ファイル転送のためにクラウドを保護するという非常に困難な課題です。組織内で、いつでもデータがクラウドを介して共有されていることに思い至れば、その困難さは自明でしょう。

PDF、Word 文書、Google Drive、ファイル転送プロトコルなど、どれを介したものであっても、データを保護するためのフレームワークを導入するのはユーザーの責任です。

以下に挙げる９つのポイントは、安全なクラウドマネージドファイル転送を保証するために有用なヒントになると思います。

1. 内部脅威とゼロトラストの枠組み

安全なクラウド転送に対する最大の脅威は何かという質問への IT 企業の回答として考えられるのは、次のようなものではないでしょうか？

• 外国政府 (いわゆるならず者国家)
• 悪意ある競合他社
• 巧妙なサイバー攻撃

ところが、これらは正しくありません。組織にとって最大の脅威となるのは内部の人間による活動です。意図的にではないにしろ、コストのかかる間違いを犯し、脆弱性を作り出し、ときには騙されて悪意のあるハッカーに侵害への扉を開けてしまいます。

クラウド内のすべてのサイバーインシデントの88%が社員のミスに起因するとの調査結果さえあります。

身近なものほど注意を要すると考えるのが無難でしょうが、このような状況に対処する最善の方法は、次のようなゼロトラストのフレームワークを適用することです。

• ファイル転送を自動化し人的エラーを排除するマネージド・ファイル・トランスファー (MFT) を採用
• スクリプトに頼らない自動化を実装
• 内外部ユーザーへの厳格なアクセスコントロール
• 組織内のシャドー IT をなくす（少なくとも無視できるレベルまで排除）
• 内外部のユーザーへの継続的な認証
• カオスエンジニアリングによってシステムの堅牢性を常にテスト

2. ID およびアクセス管理 (Identity and Access Management、IAM)

クラウドファイル転送セキュリティの向上に有用な方策として、ID およびアクセス管理 (Identity and Access Management、IAM) があります。

平易な言葉で説明するなら、クラウドシステムにアクセスする人がどういう人であって、なぜアクセスしようとしているのかをしっかり判定することです。

ニュースになるようなクラウド侵害やハッキングは、悪意あるハッカーが、アクセスが許可されていないはずのシステムへのアクセス方法を発見してしまうことから始まることが多いようです。それを防ぐには、厳密な ID およびアクセス管理を実施する安全なクラウド共有フレームワークが不可欠です。

自社で行うことが困難な場合は、ファイル転送において IAM を実施するマネージド・ファイル・トランスファー (MFT) ソリューションを導入することも可能です。

ID およびアクセス管理ポリシーを考慮して安全なクラウド共有を行うためのベストプラクティスを以下に示します。

• 内外部ユーザーに対する多要素認証 (MFA) の適用
• アクセス可能なユーザーを慎重に監視、監査し、ログに記録する
• 厳密なキー制御を使用して、暗号化キーとサインオンを保護
• シングルサインオン (SSO) を活用し、攻撃対象領域の数を減らす

3. 継続的なシステム監査

クラウド共有フレームワークの分散性、さらにそれに伴う共有責任を考えると、ファイル転送アクティビティのすべてを追跡することはとてつもなく困難な作業だと頭を抱える人もいるでしょう。

まさに今、去年優秀社員として表彰されたような人が、悪質なメールを開いたり、Google Docs を使用して個人を特定できる情報 (Personally Identifiable Information、PII) をピアツーピアで共有したりしている可能性があります。

ですが、たとえクラウドを使っていても、データの動きをコントロールできる方法はあります。必要なのは、誰がいつシステムにアクセスし、何をしたかを監査するクラウド共有システムです。

継続的な監査、ログ記録、レポート作成を備えたシステムを使うことで、すべてを厳密に可視化して確実に監視し、GDPR、HIPAA、PCI-DSS などの規制コンプライアンスを満たすために必要なドキュメントも作成できます。

クラウド共有に組み込むべき監査は細部まで追究する必要があり、例えば以下のようなものが含まれます。

• クラウド共有セキュリティの状態
• 前回のクラウド共有監査からの変更点
• クラウド共有ワークフローと承認

関連ホワイトペーパーをご覧ください：「IT管理者ガイド：情報セキュリティとコンプライアンス」

4. データ保護のテクニック

クラウド共有には、その性質上、ある程度の脆弱性が内包されていると考えられます。クラウド上で共有するデータは、ランサムウェア、マルウェア、DDoS、フィッシング攻撃のリスクにさらされます。さらに、シャドー IT、IoT、Bring Your Own Device (BYOD) 戦略などによって攻撃対象となるエンドポイントが増大することで脆弱性はますます高くなります。

したがって、クラウド上でデータを共有する組織はデータ保護のテクニックを駆使する必要があります。効果的な安全なクラウドファイル転送テクニックとしては次のようなものがあります。

• エンドツーエンドの暗号化
• 多要素認証
• キーを安全に保管する
• 重複、冗長性、バックアップとも連携する安全なハッシュアルゴリズム
• セキュリティログとセキュリティイベント管理 (侵害の報告)

5. コンプライアンスの徹底

コンプライアンスとセキュリティとはイコールではありません。コンプライアンスを満たしているからといって、必ずしもクラウドシステムがデータ侵害の被害から保護されるとは言い切れません。

もちろん、コンプライアンスとセキュリティとはかなり強い相関関係があり、コンプライアンスの徹底がセキュリティ対策への正しい方向にあることには疑問の余地がありません。コンプライアンスを満たすことは、規制当局からの介入を遠ざけるとともに、セキュリティの向上につながります。ファイル転送に関するデータプライバシー法を遵守するには、次のことが必要になります。

• 組織内の全員がセキュリティ意識を高く維持するような文化を形成する
• エンドユーザー、クライアント、サードパーティーが、安全なクラウド共有に関して自分たちに責任があることを自覚できるような動機付け
• クラウドのセキュリティインフラストラクチャを開発できるフレームワークを作成する

コンプライアンスは、特にこの10年の間に、それを徹底することが難しくなってきています。満たさなければならない様々な規制コンプライアンスがあり、IT 管理者にとっては非常に頭の痛い状況です。次のような点をカバーするクラウドセキュリティシステムが必要です。

• コンプライアンス違反を検出、通知
• コンプライアンスに関するアラート、通知、レポートを自動化
• コンプライアンスを証明できる文書の自動作成
• その時点におけるコンプライアンスのリアルタイム分析

6. 効果的で安全なクラウド共有保護ファイアウォール

視点を IT 管理者からマーケティング管理者に切り替えて、仮に有望な新しい海外の顧客候補が得られたという状況で考えてみます。クラウド共有プラットフォームにファイアウォールの侵入検知および防止システムがあれば、取引を成立させるプロセスを開始する前に、警告フラグが出されるかもしれません。見込みがあると思っていたら、会社のシステムにアクセスし、その過程で社員の IP アドレスを再ルーティングしようとしていた悪意ある侵入者であることがわかりました。マーケティング管理者は、それ以上の損害を防ぐためにファイアウォールを設定した IT 管理者に感謝するでしょう。

このようなことが起こり得るので、より強く、より安全で、反応性の高いファイアウォールが必要になります。サイバーセキュリティツールは、悪意あるトラフィックをブロックし、プライベートネットワークへの不正アクセスを防ぐのに役立ちます。

効果的なファイアウォールが装備されている場合、クラウドセキュリティプロバイダは次のことができます。

• 最先端の侵入検知および検知システムにアクセスする
• IPv4 と IPv6 の両方の攻撃からクラウド共有を保護する
• ならず者国家の攻撃から保護する地理的制限を設ける

7. 速やかな対応

ファイルがクラウドを介して簡単に共有されている場合、ビジネスに起こり得る最悪のことはデータ侵害です。しかも、単にビジネス上の問題ではなく、サイバーセキュリティ侵害によって人生そのものにも大きく影響を与える可能性さえあります。

ですが、サイバー侵害が発見されてからどう対処するかによって、被害の状況は異なります。

IBM の調査によると、セキュリティ自動化を完全に行った企業は、侵害のライフサイクルを74日間短縮することができました。セキュリティ自動化を行っていない企業が侵害問題を解決するまでに平均308日かかったのに比較して、234日まで短縮できたということです。これは、ファイル共有とクラウドセキュリティにとって迅速な対応の重要性を示すものです。

次のことができる安全なクラウド共有プラットフォームを採用するのが最適です。

• 迅速かつ効果的にデータ侵害を阻止する
• 脆弱性が検知された時点ですぐに特定する
• システムのアップデートとパッチを速やかにインストールする

8. 削除すべきものは確実に削除する

個人を特定できる情報（Personally Identifiable Information、PII）、保護された健康情報（Protected Health Information、PHI）、財務情報などの顧客関連情報は、しっかり保護する責任があります。

アクセスする必要がないクラウド共有情報にアクセスすれば、その度にシステムをランサムウェア攻撃やコンプライアンス違反のリスクにさらすことになり、保管のコストもかかります。そのため、クラウドを介してデータを転送し、有効期限までデータを保存したら、それを削除するのが賢明です。

削除は、できるだけ速やかに、そして完全に行う必要があります。ほとんどのクラウド共有サービスは、「削除ボタン」を押しただけではデータを削除しません。削除が悪意のあるものだった場合や、気が変わった場合に備えて、しばらくの間保管します。

この「ほぼ削除された」データは、多くの場合、データセキュリティフレームワークの外部に存在するため、監査やログ記録の対象にならず、可視性も不明で、脆弱性が危惧されます。

したがって、以下のような点をクリアすることが重要になります。

• クラウド共有とストレージデバイスでの厳格なデータ管理
• バックアップの処理
• すべてのハードウェア (BYOD を含む) に対しハードウェア廃止措置をとる
• データを完全に削除するクラウド共有プラットフォームを採用

9. 強力なクラウドセキュリティの文化の醸成

最終的には、社内に強力なクラウドサイバーセキュリティ文化を作り上げていくことを目指します。

例えば、社員に対して安全なクラウド共有に関するトレーニングを行い、不審なメールを送信するといったテストを実施する、といった形で取り組んでいくことが考えられます。

堅牢なクラウドセキュリティ文化が培われないと、社員が次のようなことをする恐れがあります。

• BYOD 特権を誤用する
• 安全でない無料のクラウドストレージプラットフォームに PII や PHI データを保存する
• ピアツーピア ネットワークで機密情報を共有する
• よくわからないままフィッシングメールを開いてしまう

MOVEit マネージド・ファイル・トランスファー・ソリューション

以上、９つのポイントを列挙しましたが、大変そうな課題だと憂鬱になりましたか？もし、そうであれば、良いお知らせがあります。MOVEit マネージド・ファイル・トランスファー (MFT) を導入すれば、上記のポイントはおよそクリアできます。（クラウドセキュリティ文化の醸成などは、企業内努力が必要です。）

プログレスの MOVEit は、ファイル転送アクティビティの完全な可視性とコントロールを提供するマネージド・ファイル・トランスファー（Managed File Transfer、MFT）ソフトウェアです。MOVEit Transfer、MOVEit Cloud のセキュリティ、一元化されたアクセスコントロール、ファイル暗号化、アクティビティ追跡機能を、運用の信頼性と SLA、内部ガバナンス、規制要件へのコンプライアンスを確保するために利用できます。