サイバーセキュリティに関する2016年新年の誓い

2016 Cybersecurity Resolutions

2015年はサイバーセキュリティ業界に身を置く人間にとってエキサイティングな年でした。より一層複雑さを増した新たな脅威が出現しましたが、それに対処する新たなツールも出てきました。職場ではリモートで働く社員がますます増え、クラウドアプリケーションがより一層普及し、コラボレーションツール、モバイル/BYODは増え続けています。新しい年を迎えるにあたり、どの業界や組織にも該当し、機密情報の保護を劇的に向上させるのに役立つサイバーセキュリティに関する新年の誓いを皆様にお伝えしたいと思います。

  • 機密情報と重要方法双方のより一層確実な保護を決意します。これには機密情報と重要情報とにあたる情報とは何かをスタッフに教育することも含まれます。そうした対象は計画書、特許を得ていない技術、従業員や顧客に関する機密情報や機密コード、などにも及びます。こうして一度情報を特定すると、今度はその情報にアクセスできる人間を見直し、許可のない人間がその情報を入手できないようポリシーを実行することが極めて重要です。クリアスウィフトの最近の調査では、組織内で37%の社員が職位で許可されている以上のグレードの情報へアクセスしていることが確認されています。情報へのアクセスを審査評価すれば、これは劇的に減らすことが可能です。適切なトレーニング、ポリシー、テクノロジーを適切に適用することでデータ侵害のリスクを劇的に下げることができるのです。
  • 社員がクラウドのコラボレーションツールを安全に使える柔軟性を持ち、信頼感を持ってリモートで働けることを決意します。クリアスウィフトのアダプティブDLPのようなツールを使うと、クラウドツール(Box、DropBox、Google Docs、OneDriveなど)へアップロードまたはダウンロードする情報には社員の権限の及ばないところで限定的な情報や機密情報が含まれないようにすることができます。基本的なアクセスやこうしたプログラムのセキュリティ機能はある程度データを守ることはしますが、機密方法が含まれたファイルを誤ってアップロードしてしまったり、シェアするべきではない人たちとシェアしてしまうことを防ぐことはしません。人事によるトレーニングや人事が作成したポリシーに加えて、どのデータが極秘扱いにするべき機密情報であるかを理解し、同時にそうした機密扱いのデータに誰がアクセスしてよく、誰がアクセスしてはいけないかを知るDLPシステムを組織が配備することが必要です。DLPソリューションならメタデータや隠れたデータにあって見逃されがちな、うっかりミスによる脅威にも対処することができます。
  • ビジネス上でソーシャルメディアを安全に使用できる権限が社員に与えられることを決意します。Pewリサーチによると、成人の58%がフェースブックを使用し、その多くは勤務時間中にフェースブックサイトを閲覧しています。ソーシャルメディアをビジネスに取り入れる動きが増えるにつれ、ビジネス上のリスクも増大しており、 組織は、2015年の米国政府人事管理局(OPM)がデータ流出を受けて行ったような、こうした高度に活用されているコミュニケーションツールやコラボレーションツールそのものへのアクセスをひとえにシャットダウンしてしまうよりも、機密情報や重要情報がうっかりミスやその他の理由によってこうしたソーシャルメディアを通じて配布されていしまわないように措置を講じることが必要不可欠なのです。人事部はソーシャルメディア使用を容認しソーシャルメディアに関するポリシーを策定して、公開してよい情報と悪い情報に関するトレーニングを受けさせることができます。組織はまたテクノロジーを使用してポリシーを補強し、社員がどんなに努力しても起きてしまう可能性のありうるデータ損失へ備えることが必要不可欠です。テクノロジーは隠されたメタデータや、ポリシーを破りかねない重要情報を除去し、防御の最後の砦(とりで)となるのです。
  • 社員が入社第1日目からより良いセキュリティトレーニングを受けられるよう決意します。クリアスウィフトの Insider Threat Indexによれば、ITの専門家の72%が雇い主は社員に対して重要情報や機密情報をどうやって守るか教育する必要があると主張しています。人事部門とIT部門が協力して従業員の教育を行うことで、脅威を減らし、リスクを和らげることになるのです。ただし、これはただ入社第一日目のトレーニングだけで終わるものではありません。新しい脅威が次々に登場するスピードについていき、リスクを和らげるためにも、社員教育は常に進行中のプログラムでなくてはならず、すべての社員が対象となるべきものです。
  • セキュリティのせいで社員の仕事をスローダウンさせないよう決意します。従来のDLPテクノロジーとは機密情報を含んだものを「止めてブロックする」だけの方式でした。電子メールを検疫して隔離するのにホールドしてビジネスの妨げになったり、 会社がシステムを無効にすることが情報をプロテクトすることになったりしてトラブルの原因となったりしていました。アダプティブ リダクションのような新たなアダプティブ(適応型の)DLPテクノロジーはもっとインテリジェントであり、重要情報や機密情報のみを認識し、秘匿化して、それ以外の情報はそのまま通過させます。こうした新しい先進の情報テクノロジーのおかげで組織の情報や社員の情報が守られていることが信頼することができ、余計な仕事が増えてしまい、ビジネススピードがスローダウンしてしまうこともありません。
  • サイバー上の脅威を災害復旧計画佃・事業継続計画(DRP/BCP)に取り入れることを決意します。今日サイバーセキュリティインシデントは実際の災害と同じような重大な損害を与えています。計画を策定することで、組織は備えができており、損害のインパクトを最小限に抑えることになるのです。災害復旧計画・事業継続計画(DRP/BCP)を訓練しておくことは事前に計画のギャップをあぶり出すことができ非常に有益です。これには、メディアから実際に起こった例を使えばより現実感を持つことができます。

  • さらにプロアクティブに、新たな脅威の先を行くことを決意します。サイバーセキュリティの世界で唯一変わらないものは「変化」です。脅威はより一層精錬されたものになり、攻撃方法は絶えず調整され、従来のセキュリティソリューションをすり抜けて検知されないものになってきています。最近起こった事例では、電子メールにさらに巧妙に埋め込まれたマルウェアが仕込まれていて、主要なAVスキャンソリューションでは検知できませんでした。組織は、既存のセキュリティシステムを置き換えることなく、さらに深いレベルの検知とサニタイゼーションに向上させることを検討しなければなりません。

今日、より高度なセキュリティと、ビジネスに最適で、社員それぞれに権限を与えられた環境を両立させることは可能です。こうした決意はすぐに実現可能なものとは思われませんが、どの組織のリストにも載せるべきものです。

御社のセキュリティに関する新年の誓いとはどのようなものでしょうか?


ガイバンカー博士 クリアスウィフト製品担当上級副社長