コンプライアンス違反 - 自分の会社はまだそれを問われたことはなくても、あちこちの会社で露見しているのを報道で知ると、次は自分の会社かもしれないと不安を感じることはありませんか?
昨年のデータ侵害ワースト6を振り返ってみれば、IT部門でコンプライアンス違反に問われる可能性を恐れるのは当然とも言えます。
ファイル転送は、GDPR(General Data Protection Regulation、一般データ保護規則)などの主要な規制に準拠しているかどうかを評価する必要があるプロセスです。ファイル転送プロセスに深刻なセキュリティ上のリスクを引き起こす可能性がないか、チェックする必要もあります。チェックするべきプロセスは、内部の様々な部門でのファイル転送だけでなく、顧客やベンダーなどの外部とのファイル転送も含まれます。
エンドユーザーがファイルを送信する機会があるごとに、その情報がサイバー犯罪者によって傍受される可能性が生じます。傍受されたファイルに個人データや知的財産が含まれていれば、内部システムによって適切に処理されていない限り、悪用される可能性があります。
個人データや知的財産を、悪意のある犯罪者はもちろん、単に機密ファイルを見てはいけないというだけの人であっても、本来の受信者以外の人にアクセスされるのは、断じて避けなければなりません。特にGDPRは、個人データの取り扱いについて極めて厳しい制約を設けています。このブログでは、GDPRで個人データをどう保護しようとしているか、コンプライアンス違反のリスクを回避するために何をすべきか、を考察します。監督機関からコンプライアンス違反を指摘されないようにするにはマネージド・ファイル・トランスファー・ソリューションの導入が大いに役立ちます。
GDPRの影響
GDPRは、欧州連合(EU)在籍者の個人データを取り扱うすべての事業者に適用されます。物理的な拠点がEUに存在するかどうかにかかわらず適用されるので、EUの住民にサービスを提供している他地域の企業も、コンプライアンスのための対策を講じる必要があります。
GDPRは、EU在籍者からの個人データを取り扱う場合、EU在籍者からの明確な同意が必要であると規定しています。これは、GDPRが2018年5月に施行された後に収集されたデータだけでなく、以前に収集され保存されているデータにも適用されます。GDPR基準を遵守するには、すべてのデータおよび同意文書が監査される必要があります。要請があれば、GDPRコミッショナーがすべての同意書をチェックできるようにしなければなりません。データ侵害が発生した場合、72時間以内に、GDPR監督当局および影響を受けた顧客に通知する必要があります。
GDPRコンプライアンス違反を犯してデータ侵害にあった企業には、罰金が科されます。違反の深刻さによりますが、罰金は最高2,000万ユーロとグローバル売上高の4%の、どちらか高い方になります。
このような高額な罰金の可能性があることを考慮すると、GDPRへの準拠が必要な企業は、まず、自社がどのような情報を保持しているかを確実に把握するための措置を取る必要があります。
コンプライアンス違反を問われかねないファイル転送のリスクを回避
GDPRコンプライアンス違反のリスクを回避するためには、まず、中核となるファイル転送プロセスを、少数のしっかり管理できるファイル転送サーバーで集中的に管理するようにすることが大切です。ベーシックなFTPサーバーなどの古いファイル転送プロセスを利用していると、管理上の限界があるため、セキュリティ違反やGDPRコンプライアンス違反のリスクが高くなります。
たとえば、ベーシックな FTP サーバーだと、暗号化された送信と認証のための SSH や SSL を使っていない可能性があります。もう少し高度なSFTPやFTPS(多くの場合、SSH と SSL を提供)などのファイル転送プロセスでも、自動化、可視性、改ざん防止ログ、否認防止などの重要なセキュリティ基準を満たしていない可能性があります。古い FTP ソリューションを使用している場合、以下の点に注意が必要です。
- 自動化ができていないと、繰り返しファイル転送の要件をチェックするという大変煩わしい作業をしなければなりません。面倒なことを行っていると人的ミスのリスクも増加し、データ損失の可能性につながります。自動ファイル転送ワークフローは、データ損失やコンプライアンス違反のリスクを削減するガバナンスメカニズムを提供します。
- FTP サーバーは、可視性とログに関して、コンプライアンス認定に必要なレベルを満たしていない可能性もあります。ログは、改ざん防止ログである必要があり、ファイルがいつ転送されたのか、正しい当事者がそれを受け取ったのか、それが後で削除されたのかを追跡できなければなりません。
- 否認防止は、エンドユーザーがアップロードして送信したファイルが、受信側(別のエンドユーザーであれ、外部パートナーであれ)でダウンロードされたファイルと同一であることを証明するために必須の機能です。否認防止は、転送されたデータの完全性を保証し、ファイルに関する紛争が発生した場合に貴重なフォレンジックの役割を果たします。
社内で独自のスクリプトを作成してファイル転送を自動化している場合、拡張性の問題が発生するかもしれません。スクリプトを維持・管理するのは、様々な要因が絡んで複雑な作業になっており、予想できなかったセキュリティ上のギャップが生じる可能性があります。
コンプライアンスをサポートするマネージド・ファイル・トランスファー
顧客情報を保護する規制を遵守するための方策として注目されているのが、マネージド・ファイル・トランスファー(MFT)ソリューションです。MFTは、可視性、コンプライアンス・レポート、ログ、保証された配信、転送アクティビティの追跡などの組み込み機能を備えた巨大な集中型ファイル転送システムと考えることができます。
MFT ソリューションは、ウイルス対策、データ損失防止、アクセスコントロールなどの既存のセキュリティ・アーキテクチャと統合することもできます。また、システムがダウンした場合に備えて、自動フェイルオーバー機能を設置するも可能です。
重要な業務アプリケーションを MFT プラットフォーム上で実行でき、単一の実装に複数の転送サーバー、ワークフロー自動化システム、クラウドベースの転送サービスを含めることもできます。
MFT システムは、重要なデータを含むファイルを外部部門との間で交換する必要がある場合のデータセキュリティを保証します。GDPR、PCI-DSS、HIPAA、ISO-27001 などのデータ保護規制へのコンプライアンスに大いに役立ちます。
MOVEit - GDPRコンプライアンスのためのセキュアなファイル転送ソリューション
機密データを保護するGDPRなどの規制を遵守するために、多くの企業から信頼されて利用されているのが、イプスイッチのマネージド・ファイル・トランスファー・ソリューション、MOVEit です。MOVEit を使用すると、ファイル転送アクティビティの認可と追跡を集中管理でき、データを常に保護することができます。また、必要とされる期日まで、改ざん防止監査証跡に転送データと否認防止証拠を記録します。
MOVEit は、セキュリティ保護のためのインフラストラクチャ、ポリシー、アプリケーションと統合できるようにデザインされており、以下のような重要な機能が得られます。
- 境界ネットワーク(DMZ)に暗号化されていないデータが置かれないことが保証され、外部アクセス要件がクリアできます。
- 保管中、転送中のファイルを暗号化する。
- 電子メール、Web、モバイルアプリケーション、またはデスクトップクライアントを介して、すべてのユーザーに、コンプライアントなファイル転送アクセスを提供します。
- 国際的な法規制の要件を満たす、暗号化キーと復号化キーの検証を行います。
- 障害、災害、停電中のあらゆる段階でのファイル転送の完全性と可用性を保護することができます。
ベーシックな FTP サーバーを使ったままで、コンプライアンス違反に問われる可能性におびえながら過ごしたいですか?スマートで堅固なソリューションは、手の届くところに存在します。
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.