企業のファイルは転送中も保存中もセキュリティで保護する必要があるというのは紛れもなく確かなことです。しかし、言うは易く行うは難しで、ファイルセキュリティの強化に頭を悩ませる人はたくさんいます。
ファイルセキュリティの強化という課題に直面したとき、まず行うべきことは、熟考してしっかりしたセキュリティ戦略を練り上げることです。これが重要な指針になります。ファイルセキュリティのためには、次の6つのファイル保護戦略のポイントを押さえることをお勧めします。
ポイントその1: 優れた MFT ソリューションを利用
ファイルセキュリティのコンテキストでは、MFT (Managed File Transfer、マネージド・ファイル・トランスファー) ソリューションがすべてをまとめる要になります。家であれば土台であり、車に例えるならおそらくエンジンにあたるでしょう。
ファイルは転送中が最も脆弱ですが、それは保存中の安全を意味するものではなく、ファイル セキュリティ戦略として、転送中と保存中のデータ両方を効果的に保護する信頼できる MFT を組み込む必要があります。同じように MFT と称していても、優れた信頼できるソリューションなのかどうかはその機能をチェックしてみないとわかりません。次のような高度なセキュリティ機能がすべて備わっているかを確認してください。
- 詳細な監査ログ
- 実証済みの暗号化 (FIPS 140-2 AES-256 暗号化)
- 配信確認
- 強靭なプラットフォーム構成
- 多要素ユーザー認証
- 否認防止
こういった機能が組み込まれた優れた MFT ソリューションを導入すれば、ファイルセキュリティ強化の課題の半分はクリアできたと言えます。
ポイントその2: サイバーセキュリティ意識向上プログラム
ダークウェブで機密情報がどんな値段で取引されているかを知ったらきっとびっくりするでしょう。例えば、完全な医療記録には、1,000ドルの値段がつくことさえあります。ダークウェブには、十数ドルから何百ドルといった相場さえあり、悪意を持ってデータを盗もうとするハッカーは後を絶ちません。
データ侵害の数については、さらに驚くべき数字になります。IBM のデータ漏洩レポートによると、2021年の調査でデータ侵害の世界平均コストは424万ドルだったとのことです。
企業のファイル操作には社員が関与するので、ファイルセキュリティ戦略に、このような驚愕的な数字(具体的な数字は学習に最適です)を織り込んだサイバーセキュリティ意識向上プログラムを組み入れることは重要です。
セキュリティに関する意識が高まれば、常にリスクがあることを認識してリスクを最小限に抑えることに意識的に取り組むことができます。それが企業のレジリエンスにもつながります。すべての社員にこのプログラムに参加してもらう必要があります。認識不足による過失や愚かな間違いを犯すのを防ぐため、誰もが進化し続けるサイバー脅威についてしっかり把握している環境を作っていくことが重要です。
サイバーセキュリティ意識向上プログラムには、次のような要素を組み込むようにします。
- 様々な種類のサイバー脅威に関する教育
- 多要素認証と組み合わせた安全なパスワードポリシー
- 脅威の認識と対応のトレーニング
- 定期的な脆弱性テスト
ポイントその3: 関連法令の熟知
企業のファイル取り扱いに関して様々な制約を課すデータ保護関連の法律や規定があります。機密性の高い個人データの入ったファイルの取り扱い規定への違反が判明すれば、監督機関から厳しい制裁が下ります。
こういったデータ保護法の中で最も有名なのは GDPR でしょう。GDPR は、データを保護し、プライバシーを確保することを目的としています。個人情報の多くは、顧客、取引先、サードパーティーとの間で頻繁に送受信されるファイルに保存されており、 エンドツーエンドのセキュリティや暗号化、および追跡と監査の機能なしで個人情報の入ったファイルを送信することは、 GDPR 違反の可能性があります。
GDPR などの関連法令について熟知しておくことは、ファイルセキュリティ戦略として押さえておくべき大切なポイントです。そのほか、次のようなコンプライアンス規制があります。
ポイントその4: データセキュリティ担当者の責務
ファイルセキュリティには、様々な部門の人々が関わる可能性があります。ファイルへのアクセス許可とコントロールを操作できるプログラマーがいます。ネットワーク管理者は転送中にファイルが危険にさらされないように気を配ります。
それぞれの担当者は自分の役割と責任を自覚して業務を遂行するでしょうが、個人の自覚に頼るのではなく、統合的にセキュリティをコントロールする、より大きなフレームワーク、データセキュリティに関わる担当者の役割と責任を包括的なビジネス目標にマッピングする一種のポリシー、が必要です。そして、それはファイルセキュリティ戦略にほかなりません。
情報セキュリティのフレームワークを作成するときは、データ侵害の大半がヒューマンエラーに起因することを念頭において、セキュリティ強化のための担当者の責務を明確にしてください。
ポイントその5: 目的
当然のことながら、ファイルセキュリティ戦略は、強い目的意識と方向性に基づいて構築する必要があります。ネットワークを狙うサイバー攻撃者を抑え込む、消費者データのプライバシーを確実に保護する、など、強調したい目的を明確に表出します。
ファイルセキュリティ戦略の目的として掲げられるのに適していると思われるいくつかの例を以下に挙げますので、参考にしてください。
- 情報およびデータ・セキュリティに対する一般的なアプローチを確立する。
- パスワードの誤用、機密データの誤った取り扱いなど、ファイルセキュリティの侵害を検出して未然に防ぐ。
- 倫理的および法的責任に関する社会的評価を高く維持する。
- 妥協、偏見、偏向なく、顧客データのプライバシーを保護する。
ポイントその6: スコープ
最後のポイントとして挙げておきたいのはスコープです。ファイルセキュリティ戦略は、組織内のファイルを保存・移動するすべてのプログラム、ネットワーク、プロトコル、およびツールを、例外なく視野に入れる必要があります。細部に至るまでしっかりチェックすることが重要です。
また、社員や提携会社の社員が企業のファイルに様々なレベルで関与することを念頭に置き、すべての関与者がファイルセキュリティ戦略に組み込まれていることも確認する必要があります。繰り返しますが、データ侵害の大半は人的ミスが要因です。
関連ホワイトペーパー: クラウド MFT によるファイル保護
ファイルセキュリティ強化をお考えなら、MOVEit MFT にお任せください
ファイルセキュリティ戦略の6つのポイントの第一で MFT に言及したのは決して偶然ではありません。MOVEit Transfer のような MFT には、ファイルセキュリティ戦略に必要なコンポーネントのかなりの部分が組み込まれており、導入して自社に最適なようにカスタマイズすれば強固なファイルセキュリティ対策が実現できます。
安全なファイル転送はデータ保護の必須要件であり、それには MFT 導入が最適です。