ビッグデータや IoT の時代を迎え、企業・組織にとってのデータの重要性はかつてないほど高まっています。顧客の個人情報や知財、取引関連情報など、流出すれば大惨事を招きかねないデータの種類は多岐にわたります。
IT 企業、もしくは製薬や金融などの業界規制でなくとも、メールや電子ファイル (Word や PDF、PowerPoint など)、データベースなどを使用せずに業務を行うことのできる企業は、2018 年の現在ではほとんど存在しないといってよいでしょう。 この意味でも、情報セキュリティ・適切な情報の管理は、すべての企業・組織にとっての重要課題であるといえます。
AvePoint Presents: GDPR オリジナル eBook シリーズのダウンロードなどコンテンツ満載!
↓↓↓ GDPR 特設ページはこちらから↓↓↓
しかし、情報漏洩が絶対に起きないようにすることを目指すのも現実的とはいえません。ハッカー等の悪意ある第三者によるサイバーアタックが原因であれ、誤操作や検出失敗による見落としが原因であれ、ファイルが壊れる・自然災害の被害を受ける等のソフトウェアの問題が原因であれ、発生を完璧に防止することは非常に困難です。
むしろ、情報漏洩が発生してもすぐに対応できる・被害を最小に食い止めるための対策・準備に重きを置くべきであるといえます。
また、情報漏洩によってダメージを受けるのは企業の名前と顧客からの信用だけではありません。
例えば、ヘルスケア業界の企業が情報を紛失してしまった場合、1 件につき平均で 380 米ドルのコストが発生します。金融業界であれば 245 米ドル、教育業界であれば 200 米ドルと業界によって若干の差はあるものの、インシデントの際には万単位の情報が失われることを考えると、決して無視できる金額ではありません。
これらのことを考えると、情報流出は決して 「謝っておけばそれですむ」 問題ではなく、真剣に取り組む必要があることがはっきりと理解できます。 では、情報流出のリスクを最小限に食い止めるためには、何をすべきなのでしょうか?
ファイル サーバーを使い続けるリスク
・手軽過ぎてガバナンスが効かせづらい
ドキュメントの格納場所として、多くの企業・組織で使用されているツールにファイル サーバーがあります。しかし、手軽に使うことができる反面、内容にコントロールを効かせることは非常に困難であり、しばしば情報流出インシデントの引き金や拡大の要因となってしまいます。
また、ファイル サーバーは自由度が高く、使用に高度な知識や複雑なトレーニングも必要ないため、とにかく手軽に使用される傾向にあります。この手軽さが仇となり、格納されたファイルが時間の経過とともに蓄積していく傾向も否定できません。
・適切なライフサイクル管理・トラッキングが難しい
整理方法が変更になる、部局の再編成が発生するなどの経年変化により 「そこに格納されたことさえ忘れられているファイル」 が増えていけば、いずれはゴミ箱化、つまり 「中身を誰も把握していないファイルの捨て場所」 に変貌してしまう危惧があります。 そしてその中に、万が一機密情報や個人情報が紛れ込んでいたとしたら・・・?
また、従業員情報や取引の情報などは、対象者やプロジェクトが退職したり、契約が満了したりした後も、一定の期間保存するよう法律・業界規制で定められている場合もあります。このような管理も、「何でも投げ込めてしまう底なし沼」 であるファイル サーバーで適切に実行することは困難をきわめます。
場合によっては、内容が同じドキュメントが複数存在していたり、下書きやチェックのためのドキュメントを複数作成して、違うバージョンが同じ場所に保存されていたりすることも決して稀ではありません。
このような 「誰も内容や目的を把握していない」「存在すら忘れられたままである」「いつの間にか全員の視界から消えていた」 ファイルの大群は 「ダーク データ」 と呼ばれます。
EU 一般データ保護規則 (GDPR)
GDPR の発効まであと 10 日間となりました。GDPR は、これまでのプライバシー保護法から適用対象が大きく変化し、日本に拠点を持つ日本企業も対象となる可能性があります。
GDPR は企業・組織に対し、保持している個人情報を適切に管理し、説明責任を果たすことを求めています。そのためには、「どのようなデータを・どこに・どれだけ持っているか」 を見える化し、外部に対する説明責任を果たすことが必要不可欠となります。また、「どこに何があるか、いつでも把握できる情報環境」 は、生産性向上にも大きく貢献します。
コンプライアンス移行
昨年の SharePoint 2007 サポート終了、2018 年度下半期の発売が見込まれている SharePoint 2019 の登場、さらには Office 365 のとどまるところを知らない人気などに後押しされる形で、新プラットフォームへの移行をお考えの方もおられるかと思います。
しかし、データの種類によっては、例えば 「日本国外からアクセスできてはならない」「クラウドには載せてはいけない」 などの規制がかかる場合があります。
内容を把握しないまますべてクラウドに投げ込み、後で大問題に発展するなどの事態を防ぐためにも、先に自動スキャン等で内容を実施しておき、「どのようなデータが」「どこに」「どれだけ置いてあるか」 を理解してから移行に踏み切れば、GDPR 等の法規制の対策にもなり、またストレージ コストの抑制等のメリットも享受することができます。
GDPR の発効を行動開始のチャンスと捉え、火薬庫となりかねないファイル サーバーの中のダーク データを整理することで、より安全で使いやすい情報環境を手に入れましょう。