MOVEit によるサインオン時のセキュリティポリシー同意確認

11月 01, 2018 セキュリティとコンプライアンス, MOVEit

MFT(マネージド・ファイル・トランスファー)ソリューションへのアクセス権を持つユーザーは、MFTソリューションを使用する認可を得ており、何をすることが許可されているかを正確に把握していて当然と思われがちです。ですが、その前提は見直しが必要かもしれません。

社内で組織再編があったり、GDPRなどのような新しい規制が施行されたりすると、セキュリティポリシーが変更されることがあります。形式上は、承認されたユーザーは機密情報の転送を管理する権限がありますが、承認されたユーザー全員が、絶え間なく変更が加えられるセキュリティ要件を熟知していると期待するのは現実的ではないでしょう。ユーザーには、 セキュリティ要件をしっかり把握してもらう必要があるのと同時に、新しいセキュリティポリシーに従うことへの同意を得ておく必要もあります。悪意なくセキュリティ違反を犯してしまったユーザーが、「それをしてはいけないことになっていたなんて知らなかった!」と言い出すのは、誰でも避けたいことでしょう。

監査可能なサインオン時のマネージド・ファイル・トランスファー免責事項

セキュリティポリシーをユーザーが承認していることを実証する有効な方法の1つは、サインオン時にコンプライアンスを確実にすることです。指定されたセキュリティポリシーを読み、同意したことを示すボックスにチェックしないとアクセス権が得られないという仕組みにすることで、必ず同意を得ることができます。MOVEit 2018 の最新バージョン(サービスパック2)には、この機能が含まれています。イプスイッチのマネージド・ファイル・トランスファー・ソリューションを使うと、エンドユーザーと管理者にセキュリティ(またはその他の)ポリシーへの同意を促すことができます。

New Security Notice を使ったログイン

ボックスにチェックしない場合はアクセス権が拒否されます。ユーザーはサインオンするときにポリシーを読む必要があります。これは一度だけ行えばいいので、システムの負担は増えません。セキュリティポリシーだけが対象ではなく、この機能を使って必要などのようなポリシーへの同意も得られます。

Security Notice のカスタマイズ

組織独自の状況に応じて、どのような内容であっても、特定のポリシーを作成してユーザーに同意を求めることができます。これは、組織独自のデータセキュリティスタンダード(DSS)を適用するために使えるだけでなく、GDPRやHIPAAなどの規制へのコンプライアンスを徹底するためにも使えます。セキュリティポリシーの変更があれば、ユーザーが次にログインする際に変更されたポリシーに同意する必要が生じるので、要件の変更に対応できます。最も重要なことは、管理者が、各ユーザーがいつどのポリシーに合意したのかを監査可能レポートとして、正確に記録することができるということです。

Sign On Notice Acceptance レポート

組織がどのようなポリシーを持っていたとしても、ユーザーは「私は知りませんでした!」と主張することはできなくなります。ポリシーを理解して、それを遵守することに同意したという証拠があります。

マネージド・ファイル・トランスファー、MOVEit の詳細については、こちらのページをご覧ください。

Mark Towler