IT ビジネスを展開する際、重要な2つの達成日があります。最初の日は実際にビジネスが確立した日ですが、第二の達成日は、ビジネスでそのシステムを保護する技術が確立したとみなせる日です。そのためには、オフィスオートメーション、知識管理、そしてクラウドストレージシステムを保護できる必要があります。最後の、クラウドストレージの保護は、ファイル転送のためにクラウドを保護するという非常に困難な課題です。組織内で、いつでもデータがクラウドを介して共有されていることに思い至れば、その困難さは自明でしょう。
PDF、Word 文書、Google Drive、ファイル転送プロトコルなど、どれを介したものであっても、データを保護するためのフレームワークを導入するのはユーザーの責任です。
以下に挙げる9つのポイントは、安全なクラウドマネージドファイル転送を保証するために有用なヒントになると思います。
安全なクラウド転送に対する最大の脅威は何かという質問への IT 企業の回答として考えられるのは、次のようなものではないでしょうか?
ところが、これらは正しくありません。組織にとって最大の脅威となるのは内部の人間による活動です。意図的にではないにしろ、コストのかかる間違いを犯し、脆弱性を作り出し、ときには騙されて悪意のあるハッカーに侵害への扉を開けてしまいます。
クラウド内のすべてのサイバーインシデントの88%が社員のミスに起因するとの調査結果さえあります。
身近なものほど注意を要すると考えるのが無難でしょうが、このような状況に対処する最善の方法は、次のようなゼロトラストのフレームワークを適用することです。
クラウドファイル転送セキュリティの向上に有用な方策として、ID およびアクセス管理 (Identity and Access Management、IAM) があります。
平易な言葉で説明するなら、クラウドシステムにアクセスする人がどういう人であって、なぜアクセスしようとしているのかをしっかり判定することです。
ニュースになるようなクラウド侵害やハッキングは、悪意あるハッカーが、アクセスが許可されていないはずのシステムへのアクセス方法を発見してしまうことから始まることが多いようです。それを防ぐには、厳密な ID およびアクセス管理を実施する安全なクラウド共有フレームワークが不可欠です。
自社で行うことが困難な場合は、ファイル転送において IAM を実施するマネージド・ファイル・トランスファー (MFT) ソリューションを導入することも可能です。
ID およびアクセス管理ポリシーを考慮して安全なクラウド共有を行うためのベストプラクティスを以下に示します。
クラウド共有フレームワークの分散性、さらにそれに伴う共有責任を考えると、ファイル転送アクティビティのすべてを追跡することはとてつもなく困難な作業だと頭を抱える人もいるでしょう。
まさに今、去年優秀社員として表彰されたような人が、悪質なメールを開いたり、Google Docs を使用して個人を特定できる情報 (Personally Identifiable Information、PII) をピアツーピアで共有したりしている可能性があります。
ですが、たとえクラウドを使っていても、データの動きをコントロールできる方法はあります。必要なのは、誰がいつシステムにアクセスし、何をしたかを監査するクラウド共有システムです。
継続的な監査、ログ記録、レポート作成を備えたシステムを使うことで、すべてを厳密に可視化して確実に監視し、GDPR、HIPAA、PCI-DSS などの規制コンプライアンスを満たすために必要なドキュメントも作成できます。
クラウド共有に組み込むべき監査は細部まで追究する必要があり、例えば以下のようなものが含まれます。
関連ホワイトペーパーをご覧ください:「IT管理者ガイド:情報セキュリティとコンプライアンス」
クラウド共有には、その性質上、ある程度の脆弱性が内包されていると考えられます。クラウド上で共有するデータは、ランサムウェア、マルウェア、DDoS、フィッシング攻撃のリスクにさらされます。さらに、シャドー IT、IoT、Bring Your Own Device (BYOD) 戦略などによって攻撃対象となるエンドポイントが増大することで脆弱性はますます高くなります。
したがって、クラウド上でデータを共有する組織はデータ保護のテクニックを駆使する必要があります。効果的な安全なクラウドファイル転送テクニックとしては次のようなものがあります。
コンプライアンスとセキュリティとはイコールではありません。コンプライアンスを満たしているからといって、必ずしもクラウドシステムがデータ侵害の被害から保護されるとは言い切れません。
もちろん、コンプライアンスとセキュリティとはかなり強い相関関係があり、コンプライアンスの徹底がセキュリティ対策への正しい方向にあることには疑問の余地がありません。コンプライアンスを満たすことは、規制当局からの介入を遠ざけるとともに、セキュリティの向上につながります。ファイル転送に関するデータプライバシー法を遵守するには、次のことが必要になります。
コンプライアンスは、特にこの10年の間に、それを徹底することが難しくなってきています。満たさなければならない様々な規制コンプライアンスがあり、IT 管理者にとっては非常に頭の痛い状況です。次のような点をカバーするクラウドセキュリティシステムが必要です。
視点を IT 管理者からマーケティング管理者に切り替えて、仮に有望な新しい海外の顧客候補が得られたという状況で考えてみます。クラウド共有プラットフォームにファイアウォールの侵入検知および防止システムがあれば、取引を成立させるプロセスを開始する前に、警告フラグが出されるかもしれません。見込みがあると思っていたら、会社のシステムにアクセスし、その過程で社員の IP アドレスを再ルーティングしようとしていた悪意ある侵入者であることがわかりました。マーケティング管理者は、それ以上の損害を防ぐためにファイアウォールを設定した IT 管理者に感謝するでしょう。
このようなことが起こり得るので、より強く、より安全で、反応性の高いファイアウォールが必要になります。サイバーセキュリティツールは、悪意あるトラフィックをブロックし、プライベートネットワークへの不正アクセスを防ぐのに役立ちます。
効果的なファイアウォールが装備されている場合、クラウドセキュリティプロバイダは次のことができます。
ファイルがクラウドを介して簡単に共有されている場合、ビジネスに起こり得る最悪のことはデータ侵害です。しかも、単にビジネス上の問題ではなく、サイバーセキュリティ侵害によって人生そのものにも大きく影響を与える可能性さえあります。
ですが、サイバー侵害が発見されてからどう対処するかによって、被害の状況は異なります。
IBM の調査によると、セキュリティ自動化を完全に行った企業は、侵害のライフサイクルを74日間短縮することができました。セキュリティ自動化を行っていない企業が侵害問題を解決するまでに平均308日かかったのに比較して、234日まで短縮できたということです。これは、ファイル共有とクラウドセキュリティにとって迅速な対応の重要性を示すものです。
次のことができる安全なクラウド共有プラットフォームを採用するのが最適です。
個人を特定できる情報(Personally Identifiable Information、PII)、保護された健康情報(Protected Health Information、PHI)、財務情報などの顧客関連情報は、しっかり保護する責任があります。
アクセスする必要がないクラウド共有情報にアクセスすれば、その度にシステムをランサムウェア攻撃やコンプライアンス違反のリスクにさらすことになり、保管のコストもかかります。そのため、クラウドを介してデータを転送し、有効期限までデータを保存したら、それを削除するのが賢明です。
削除は、できるだけ速やかに、そして完全に行う必要があります。ほとんどのクラウド共有サービスは、「削除ボタン」を押しただけではデータを削除しません。削除が悪意のあるものだった場合や、気が変わった場合に備えて、しばらくの間保管します。
この「ほぼ削除された」データは、多くの場合、データセキュリティフレームワークの外部に存在するため、監査やログ記録の対象にならず、可視性も不明で、脆弱性が危惧されます。
したがって、以下のような点をクリアすることが重要になります。
最終的には、社内に強力なクラウドサイバーセキュリティ文化を作り上げていくことを目指します。
例えば、社員に対して安全なクラウド共有に関するトレーニングを行い、不審なメールを送信するといったテストを実施する、といった形で取り組んでいくことが考えられます。
堅牢なクラウドセキュリティ文化が培われないと、社員が次のようなことをする恐れがあります。
以上、9つのポイントを列挙しましたが、大変そうな課題だと憂鬱になりましたか?もし、そうであれば、良いお知らせがあります。MOVEit マネージド・ファイル・トランスファー (MFT) を導入すれば、上記のポイントはおよそクリアできます。(クラウドセキュリティ文化の醸成などは、企業内努力が必要です。)
プログレスの MOVEit は、ファイル転送アクティビティの完全な可視性とコントロールを提供するマネージド・ファイル・トランスファー(Managed File Transfer、MFT)ソフトウェアです。MOVEit Transfer、MOVEit Cloud のセキュリティ、一元化されたアクセスコントロール、ファイル暗号化、アクティビティ追跡機能を、運用の信頼性と SLA、内部ガバナンス、規制要件へのコンプライアンスを確保するために利用できます。
View all posts from Victor Kananda on the Progress blog. Connect with us about all things application development and deployment, data integration and digital business.
より優れた業務アプリケーションやウェブサイトの開発に役立つ、ニュース、情報、チュートリアルをご案内します。