MOVEit リソースセンター

わかってる、もう聞き飽きた、と言いたくなる人は大勢いるかもしれませんが、現代のグローバルな技術環境においては、ハッキングされる危険は常にあり、しかもその危険はますます大きくなっています。

ハッキングの手口はどんどん巧妙化していますが、人的ミスを排除する、データを暗号化する、あるいは効果的なセキュリティ意識向上のためのトレーニングを行うことなどで防ぎ得るものもたくさんあります。様々な業務プロセスを見直して潜在的な弱点を排除することは理にかなっていますが、ファイル転送プロセスもチェックし直すべきものの部類に入ります。シャドーIT やフィッシング攻撃などの危険性を改めて持ち出して強調するのはここでは避けて、企業が、自社および顧客や関係会社の機密情報を保護したいと考えていると想定した上で話を進めます。

クレジットカード処理を行う場合は、PCI-DSSに準拠する必要があります。医療記録などの臨床データを処理するアメリカの組織は、HIPAAが準拠するべき規制ですが、おそらくPCI-DSSにも準拠する必要があります。そのほかにも、個人識別情報が盗まれないよう、またプライバシーを守るために、産業や地域によってさまざまな規制があり、そのコンプライアンスが必要です。ノースカロライナ大学では、機密データとしてどのようなものがあるかをリストしています。

個人識別情報（PII）、保護される健康情報（PHI）、従業員データなどはすべて機密情報であり、悪意がある誰かの手に渡れば、データは様々な形で悪用されてしまいます。

データ共有は必須

データがたいてい、あまり効率的でない形で共有されていることは、大きな問題です。銀行、金融サービスおよび保険（banking, financial services and insurance、BFSI）業界では、業務を遂行するのにどうしても必要なため、幅広くデータが共有されます。たとえば、信用調査のためには、銀行はデータを信用情報会社と共有する必要がありますが、それを考えれば、Equifax をターゲットにして、2017年に大規模データ侵害事件（1億4,300万人のアメリカ人の機密データ侵害）が起こったのも、ハッカー側からは理に適っています。

財務レポート、口座の明細書、口座の更新情報など多くのデータが、銀行間で共有されたり、中央サーバーにバックアップされたりします。フィンテックで様々な電子決済システムやその他の金融サービスが導入され、データ共有はますます普遍的に行われています。データ分析、ビッグデータ、そしてターゲットマーケティング用のデータなどもすべて、共有されるべきデータと考えられます。

医療機関も、保険会社や様々な医療専門家との間で、臨床データや財務データを共有し、保存する必要があるので、ハッカーが狙うターゲットになります。患者の医療に関与していない医療関係者にも、個人識別情報が削除されていれば、臨床情報が共有されることがあります。やはり、ハッカーにとって魅力的な産業なので、医療機関への攻撃も多数発生しています。

問題は、もちろん金融や医療の分野だけにとどまるものではなく、機密データを処理するすべての組織に関わることです。機密データを部外者と共有する必要がある場合は、ファイル転送プロセスをよくチェックする必要があります。規制は、組織にデータの保護方法を指示するのではなく、適正な注意義務への最大限の努力を履行するよう求めており、それを実施できなかった場合はペナルティが科されます。あらゆる業界で広くデータ侵害事件は起こっており、無知は無防備です。

セキュアなファイル転送

企業は機密データを保護する手段を検討する必要がありますが、効率の改善や業務プロセスの向上につながる方法でなければ受け入れられないでしょう。地域や業界に応じて、満たすべきコンプライアンス規制も異なります。効果的なファイル転送ソリューションを使えば、そういった要件に対応可能です。古いインフラストラクチャであっても、また、プラットフォームの種類や事業規模にかかわらず。

ファイル転送ソリューションを導入して、何度も繰り返して行われるタスクを自動化すれば、本当に手作業による介入が必要なタスクに当てる時間が確保できます。ファイル転送タスクを自動化することには、次のようなメリットがあります。

1. 集中管理

ファイル転送タスクの構築、スケジューリング、管理を専門に担当するスタッフ（人選には慎重さが必要）が集中的に取り組むことで、繰り返されるデータ入力時の人的ミスを削減できます。定期的にファイルを転送するバッチを作成することもできます。

2. 単一のソリューションですべてのファイル転送を処理

ファイル転送のために数々のオプションを使い分ける必要がなく、1つのソリューションに集中すればいいので、混乱が少なく、ファイル転送の重複や漏れの発生も抑えられます。

3. データセキュリティの向上

選択されたソリューション次第ですが、ファイル転送のすべての段階で（転送中も保管中も）データを暗号化でき、ファイルが正しい受信者に配信できたかの確認ができます。すべての転送アクティビティはログに記録されます。

4. リアルタイムの可視性

ファイル転送の状況が明確にわかり、接続切断などによる配信の失敗があればただちに警告を受けられ、即座に対処可能です。

5. 効率化が進展

ファイル転送の自動化でそれまでの手作業が削減され、ほかのより創造的なタスクに時間を使うことができます。すべての転送が自動化できるわけではありませんが、大きなファイルを転送する場合や1回限りのスケジュール転送を行う場合に、手動による転送を効率的にコントロールすることも可能です。

6. ユーザーごとに自動化

ユーザーごとに簡単にトリガーを作成でき、データベースの更新や中央サーバーの毎日のバックアップなども効率的に行えます。

7. コンプライアンスが容易

すべてが追跡されログファイル（編集不可）に記録されるため、さまざまな規制へのコンプライアンスが容易に可能です。

8. 監査証跡

マネージド・ファイル・トランスファー・ソリューションの優れた特徴は、誰がいつ送信し、誰がそれを受け取ったかをすべて記録し、完全に監査可能であることです。データ侵害が発生した場合、この監査証跡が大いに役立ちます。迅速に対応できるので、データ侵害に伴うことが多い、金銭的なペナルティーや評判の下落を防ぐことができます。

まとめ

FTPサーバーのスプロールとスクリプトを管理するという悪夢に悩ませられたくなければ、マネージド・ファイル・トランスファー・ソリューションを導入してファイル転送を自動化することが合理的です。コンプライアンス要件はどんどん厳しくなってきており、あらゆる組織が利用者の立場に立ってデータ漏洩を防ぐよう万全を期す必要があります。信頼は、一度失われると回復するのが極めて困難な貴重な財産です。様々なサービスの利用者は、サービス提供者が個人情報識別情報を保護することを前提にしています。データが侵害され、サービス提供会社が基本的なセキュリティ予防策を実行していなかったことが判明すれば、別会社に乗り換えるのは当然の成り行きです。重大さによっては訴訟問題も起こり得ます。