企業は、データの保護と社員のプライバシーを両立できるバランスの取れたセキュリティを確立する必要がある。
DLP(data loss prevention)システム、暗号化、インターネット監視ツールなど、制限型の制御では完璧なセキュリティは実現できず、部内者が関与したデータ漏えいが増えている。生産性に影響せず、従業員のプライバシー権を侵害することもなく、セキュリティを高めるにはどうすればよいか?
英国の詐欺防止サービス「Cifas」によると、部内者が関与した詐欺は2012年に43%増加している。また、米Verizonの2013年版「データ漏洩/侵害調査報告書」によると、全データ侵害の14%に部内者が関与しているという。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年9月11日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
ストレージおよび情報管理企業のIron Mountainの調査では、英国の従業員の8%は、雇用主から不当と感じる処遇を受けた場合、機密情報を盗んで報復すると回答している。
近年、機密性の高いデータを保持している企業は、ファイアウォールや侵入検知システムを使い、ネットワーク境界の保護についてはかなり成果を上げている。その結果、攻撃者はこのような制御を迂回するため、組織内部の協力者を探すようになった。
部内者を利用すれば、定期的に組織内のデータにアクセスすることは格段に容易になる。セキュリティ企業は、ハッカーに強要されて協力者にさせられた部内者が関与するデータ漏えいが増えていると報告している。
銀行にとってデータセキュリティは極めて重要であるため、システムをロックダウンし、インターネットへのアクセスを制限することでセキュリティを確立してきた。最近ではDLP(data leakage prevention)ツールやデータ暗号化ツールなどの制限型の制御を導入して、アクセスおよび外部に送信できるデータを制限している。
しかし、依然としてデータの流出は止まらない。しかも、システムをロックダウンしてアクセスを制限することで、競争力を生み出すために必要なイノベーションが抑圧されていることに銀行は気付きつつある。
英Dtex Systemsのマネージングディレクター、モハン・クー氏によると、銀行やメディア企業、通信会社は現在、「trust, but verify(信頼するが、検証もする)」(訳注)セキュリティモデルを採用し、データ保護と従業員のプライバシーの両立を図っているという。
訳注:元はロシアの格言。ロナルド・レーガン元大統領が引用したことで有名(参考:Wikipedia)。
つまり、従業員が革新的かつ創造的でいるために必要なアクセスと柔軟性を認めつつ、保護監視システムによって危険な行為や悪意のある行為がないことを検証するというモデルだ。
「このモデルのおかげで、英国の金融機関は、ロックダウンによる制限型のセキュリティから転向できている」と、クー氏は語っている。
DLPツールが情報漏えいを阻止できない最大の理由は、ツールが各組織固有の要件に合わせて適切に構成されていないことだとクー氏は指摘する。企業が抱えるリスクは同じではないが、DLPツールのサプライヤーはどの顧客にも同じ構成を勧めることが多いという。
「情報漏えいの発生を把握し、実際に起きている箇所を特定できる唯一の方法は、組織のネットワーク上の全ファイルについて、ユーザーの操作の内容をチェックする監査を実行し、DLPシステムが作動している箇所と、DLPシステムに検知されずにデータが転送されている箇所を特定することだ」とクー氏は語る。
また、データ侵害事件の多くで、従業員がインターネットを使って最も一般的なインターネットセキュリティツールを迂回する方法を調べ、そのテクニックを同僚に教えていることも保護監視システムによって暴かれている。
金融業界に次いで制限型のセキュリティが普及している通信業界も、データセキュリティを改善する方法を模索している。
通信会社でも保護監視モデルによって、制限が行き過ぎることも従業員のプライバシーが侵害されることもなく、英国のデータ保護法(Data Protection Act)の規定に準じて重要な顧客保持データを制御できている。
創造性がビジネスの基軸になることから制限を設けてこなかったメディア業界では、逆にこの保護監視モデルを使って従来の自由を維持しつつ、情報セキュリティを強化している。
「一般的にメディア企業では、セキュリティ制御がほとんどまたは全く導入されていなかった。しかし、特に2013年5月に発生したSyrian Electronic Army(訳注)による西側メディアへの攻撃以後は、情報セキュリティの重要性を認め始めている」とクー氏は言う。
訳注:SEA(Syrian Electronic Army)関連記事まとめ。
他に、電力と小売業界も、保護監視を使って「trust, but verify」型のセキュリティに移行している。
しかし、保護監視ではどのようにしてプライバシーの侵害を防ぐのか?
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
従来型境界防御が限界を迎え、企業は新たなサイバーセキュリティの課題に直面している。今日の高度な脅威に対抗するためのセキュリティアプローチとして、ZTNA、EDR、XDRの統合による包括的保護の実現方法について解説する。
「AIエージェント」をはじめとする人工知能(AI)技術を、脅威の検出や分析に利用する動きが広がりつつある。AI技術がセキュリティ分野にもたらす可能性と、その効果を最大限引き出すために留意すべき課題について整理する。
セキュリティ運用の複雑化を防ぐために、乱立するセキュリティツールの統合に取り組む企業が増えている。しかし、ただ統合するだけでは必ずしも問題の解決にはつながらない。“賢い統合”を実現するためのポイントとは。
SIEMとSOARは、企業のセキュリティ運用を支える中核的なツールだ。両ツールの目的や機能、メリットは大きく異なるが、十分に理解している人は少ない。それぞれの特徴を整理し、自社に最適な選び方を分かりやすく解説する。
「EDR」と「SIEM」はどちらも企業のセキュリティを強化するための重要なツールだが、それぞれ担う役割や得られるメリットは大きく異なる。両者の違いや併用の可能性について触れつつ、最適なセキュリティ体制を構築するヒントを探る。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
