企業は、データの保護と社員のプライバシーを両立できるバランスの取れたセキュリティを確立する必要がある。
DLP(data loss prevention)システム、暗号化、インターネット監視ツールなど、制限型の制御では完璧なセキュリティは実現できず、部内者が関与したデータ漏えいが増えている。生産性に影響せず、従業員のプライバシー権を侵害することもなく、セキュリティを高めるにはどうすればよいか?
英国の詐欺防止サービス「Cifas」によると、部内者が関与した詐欺は2012年に43%増加している。また、米Verizonの2013年版「データ漏洩/侵害調査報告書」によると、全データ侵害の14%に部内者が関与しているという。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年9月11日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
ストレージおよび情報管理企業のIron Mountainの調査では、英国の従業員の8%は、雇用主から不当と感じる処遇を受けた場合、機密情報を盗んで報復すると回答している。
近年、機密性の高いデータを保持している企業は、ファイアウォールや侵入検知システムを使い、ネットワーク境界の保護についてはかなり成果を上げている。その結果、攻撃者はこのような制御を迂回するため、組織内部の協力者を探すようになった。
部内者を利用すれば、定期的に組織内のデータにアクセスすることは格段に容易になる。セキュリティ企業は、ハッカーに強要されて協力者にさせられた部内者が関与するデータ漏えいが増えていると報告している。
銀行にとってデータセキュリティは極めて重要であるため、システムをロックダウンし、インターネットへのアクセスを制限することでセキュリティを確立してきた。最近ではDLP(data leakage prevention)ツールやデータ暗号化ツールなどの制限型の制御を導入して、アクセスおよび外部に送信できるデータを制限している。
しかし、依然としてデータの流出は止まらない。しかも、システムをロックダウンしてアクセスを制限することで、競争力を生み出すために必要なイノベーションが抑圧されていることに銀行は気付きつつある。
英Dtex Systemsのマネージングディレクター、モハン・クー氏によると、銀行やメディア企業、通信会社は現在、「trust, but verify(信頼するが、検証もする)」(訳注)セキュリティモデルを採用し、データ保護と従業員のプライバシーの両立を図っているという。
訳注:元はロシアの格言。ロナルド・レーガン元大統領が引用したことで有名(参考:Wikipedia)。
つまり、従業員が革新的かつ創造的でいるために必要なアクセスと柔軟性を認めつつ、保護監視システムによって危険な行為や悪意のある行為がないことを検証するというモデルだ。
「このモデルのおかげで、英国の金融機関は、ロックダウンによる制限型のセキュリティから転向できている」と、クー氏は語っている。
DLPツールが情報漏えいを阻止できない最大の理由は、ツールが各組織固有の要件に合わせて適切に構成されていないことだとクー氏は指摘する。企業が抱えるリスクは同じではないが、DLPツールのサプライヤーはどの顧客にも同じ構成を勧めることが多いという。
「情報漏えいの発生を把握し、実際に起きている箇所を特定できる唯一の方法は、組織のネットワーク上の全ファイルについて、ユーザーの操作の内容をチェックする監査を実行し、DLPシステムが作動している箇所と、DLPシステムに検知されずにデータが転送されている箇所を特定することだ」とクー氏は語る。
また、データ侵害事件の多くで、従業員がインターネットを使って最も一般的なインターネットセキュリティツールを迂回する方法を調べ、そのテクニックを同僚に教えていることも保護監視システムによって暴かれている。
金融業界に次いで制限型のセキュリティが普及している通信業界も、データセキュリティを改善する方法を模索している。
通信会社でも保護監視モデルによって、制限が行き過ぎることも従業員のプライバシーが侵害されることもなく、英国のデータ保護法(Data Protection Act)の規定に準じて重要な顧客保持データを制御できている。
創造性がビジネスの基軸になることから制限を設けてこなかったメディア業界では、逆にこの保護監視モデルを使って従来の自由を維持しつつ、情報セキュリティを強化している。
「一般的にメディア企業では、セキュリティ制御がほとんどまたは全く導入されていなかった。しかし、特に2013年5月に発生したSyrian Electronic Army(訳注)による西側メディアへの攻撃以後は、情報セキュリティの重要性を認め始めている」とクー氏は言う。
訳注:SEA(Syrian Electronic Army)関連記事まとめ。
他に、電力と小売業界も、保護監視を使って「trust, but verify」型のセキュリティに移行している。
しかし、保護監視ではどのようにしてプライバシーの侵害を防ぐのか?
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
SaaS(Software as a Service)の普及とハイブリッドワークの定着に伴い、企業のアタックサーフェスが拡大している。このような中でセキュリティを強化する際に有効なのが、エンタープライズブラウザだ。本資料ではその理由を解説する。
従業員がWebブラウザで行う業務が増えるにつれ、そのブラウザを標的としたサイバー攻撃にどう対抗するかが、多くの組織で課題となっている。そこで注目したいのが、SASEフレームワークにネイティブに統合されたセキュアブラウザだ。
生成AIの普及が進む一方で、企業は「攻撃対象領域の拡大」「情報漏えいリスク」「法規制への対応」などの課題に直面し、セキュリティの再設計が急務となっている。そこで本資料では、ハードウェア起点のAI PCによる多層防御策を紹介する。
2024年に実施されたエンドポイントセキュリティに関する調査で、多くの企業がAIやそのセキュリティ課題に未対応であることが明らかになった。本資料では、業務用PCのリスクを回避するための具体的な方法について解説する。
攻撃対象領域の拡大に伴い、SOCは高優先度のアラート対応で手いっぱいになり、トリアージにおいても十分な追加検証が行えていない。この現状を打開するには、AI/機械学習を活用し、大量のデータをセキュリティ対策に生かす手法が有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
