データ保護の基本!組織のセキュリティを強化する 3 つのルール

投稿日: 10/28/2021
feature image

ほぼ全てのビジネスやコミュニケーションがオンラインで行われる今日、サイバー攻撃やデータ侵害は、組織と個人の双方にとって非常に大きな脅威となっています。サイバー セキュリティ戦略を欠くことで発生する資金面や評判面のリスクはあまりにも大きいため、企業にとってサイバー セキュリティ戦略が必須であるように、私たち個人もサイバー セキュリティ戦略を持つ必要があります。FBI のインターネット犯罪レポート (英語) によると、サイバー犯罪による被害額は 2020 年だけで 27 億ドルに達しました。日本においても、ここ半年でランサムウェアの被害件数は実に3倍に増加しています。

職場でも自宅でも、組織のセキュリティは全員の責任です。ここからは、情報漏洩やサイバー攻撃から情報資産を守るために知っておくべきルールをご紹介します。

1.共有には細心の注意を

情報漏洩という言葉から、悪意のあるハッカーを連想する人も多いのではないでしょうか。ですが、組織におけるセキュリティ データ インシデントの 92% は、プロセスの不備やユーザーの過失によって意図せず引き起こされているという報告 (英語リンク) があります。資料の不適切な共有として最も一般的なのが、個人情報や業務データを意図せず公開してしまうことです。

新型コロナウイルスの感染爆発に伴い、企業はハイブリッド ワークやリモート ワークを迅速に実現するため、Microsoft Teams の導入を進めました。ユーザーの今のニーズや働き方に合わせ、Microsoft はユーザーによるファイル共有や権限の提供をかつてないほど容易に行えるようにしています。Microsoft は、ユーザーが「同じ組織の人間や既存のアクセス権を持つ人間、特定の人間を問わず、誰とでも容易にファイル共有できるようにする」と述べています。

様々な共有設定が簡単に設定できますが、「組織内の全員と共有する」ではなく、必ず最も保守的な選択肢である「特定の人と共有する」を選ぶようにしましょう。ユーザーは共有について最大限ベスト プラクティスに従うように努めるべきですが、組織の側でも、誤って割り当てられたり不適切に割り当てられた権限を監視し、ロールバックするための戦略も用意しておく必要があります。

※この記事は、米国 AvePoint で 2021 年 10 月 7 日付で公開された記事 “3 Must-Know Rules for Stronger Organizational Security” を日本語編訳したものです。

policies and insights

誤った相手にメールを送信してしまったり、BCC のつもりで CC の欄にメールアドレスを記入してしまったりという経験は誰しもあるのではないでしょうか。このような単純な不注意によるミスから、意図せぬ相手に個人情報が漏れてしまう可能性があります。また、お気に入りのストリーミング サービスのパスワードを友人に不用意に教えるというのも、考え直すべき行動です。中でも、同じパスワードを使いまわしている人は特に注意すべきでしょう (これはサイバー スペースにおける典型的なタブーです)。確かにパスワードを教えられた友人は、あなたのログイン情報を最新の人気テレビ番組を見るためだけにしか使用しないかもしれません。しかし、気づかぬままに、友人があなたのあらゆるアカウントにアクセスできるようになってしまっている可能性があるのです。

2.デジタル フットプリントを積極的に管理する

御社の IT 管理者は、重要な質問にすぐ答えられるでしょうか。例えば「機密データはどこに保存されているのか」、「誰がアクセスできるのか」、「どのように共有されているのか」、「脅威となり得る外部ユーザーはいるか」、「記録の保持や消去プロセスはどうなっているのか」といった質問です。企業にとって、データの保管、ユーザーの権限、潜在的なリスクといった組織内のデジタル フットプリントについての理解は必須です。IT 部門がデジタル フットプリントについて包括的に把握した上で、次のステップとして必要になるのがガバナンス戦略の導入です。その際のベスト プラクティスとして、以下が挙げられます。

  • 継続的な監視が必要なワークスペースの要件設定と、コンテンツ所有者によるレビュー プロセスの管理
  • 重要なアクセス制御や機密データに関連する問題の長期的な監視と、リスクに応じた優先順位の設定
  • ユーザーのアクセスや外部ユーザー、権限、ロールの再認証を行う「更新タスク」の自動生成
  • どういったデータがあるのか、なぜそのデータが存在するのか、誰に属しているのか、最後に情報を確認したのはいつなのか、といった正確な一覧情報を、常にデータの所有者や管理者が保有する
  • 警告をトリガーしたり、無許可の変更やリスクのある行動に対するロールバックを行ったりする自動化されたポリシーの導入

同様に、個人的に作成したアカウントやクレジット カード情報を保存したサイト、機密性の高い個人情報を入力したサイトをすべて思い出せるでしょうか? 個人レベルにおいても、ガバナンス戦略を実施することが大切です。

まずは、ハッキングによる侵害の原因の 81% を占める、パスワードの漏洩から対処しましょう。従来のパスワード セキュリティについて、私たちが直感的に正しく、効果的と感じる慣習が存在します。しかし、アメリカ国立標準技術研究所による最新のガイダンス (英語リンク) では、こういった絶対的なものとして捉えられていた対策が、必ずしも正しくないことが示されました。このガイダンスでは、以下を始めとする慣習が推奨されています。

  • 複雑さより長さを重視するべき ランダムに文字を配列し、複雑なパスワードを作成している方もいるかもしれません。しかし、長いパスワードは盗まれても解読が困難なのです。覚えやすい複数の単語を組み合わせて、8 文字以上の長いパスワードを設定しましょう。
  • 定期的にリセットしない パスワードの頻繁なリセットは、セキュリティ面でむしろ逆効果です。文字の置換や末尾への文字の追加など、予測しやすい形でパスワードを更新するユーザーは少なくありません。もしサイバー攻撃を行う人間が前のパスワードをすでに知っている場合、更新されたパスワードの解読は容易です。

次に、これまでにパスワードを設定してアカウントを作成したことのあるサイトの一覧を作成しましょう。例えば、2015 年にある EC サイトで靴を購入したとき、会計時に「アカウントを作成する」というボックスにチェックを入れたとします。それ以降、そのサイトで取引をしていなければ、作成したアカウントのことは完全に忘れてしまっているのではないでしょうか。

もし明日その EC 企業がハッキングされたとしても、自分の情報が流出した可能性があることすら知らないままかもしれません。自身のアカウントについて把握することは、自分のデジタル フットプリントを理解する上で極めて重要です。また、不要になったアカウントは削除しましょう。これにより情報が露出される範囲を狭められるだけでなく、ログイン情報の管理が必要なサイトの数も減らすことができます。

3.必ずバックアップ プランを用意しておく

サイバー攻撃では個人情報や業務データが狙われることが多く、バックアップ プランは必須です。職場でも自宅でも、データを保護し、データ損失から迅速に立ち直れるようにクラウドのバックアップ ソリューションを導入しましょう。ランサムウェア攻撃を受けたり、コンテンツが破損したり、単なるユーザー エラーによる問題が発生したりしても、あらかじめ計画を立てておくことで最悪のシナリオを回避できます。自動のクラウド バックアップを実行することで、データを一定間隔で保存し、その時点まで復元できるようになります。

企業レベルでは、堅牢なバックアップ ソリューションにより組織のデータの保護と暗号化が実現します。たとえ問題が発生しても、オンデマンドの復元機能によりダウンタイムやデータ損失を最小限に抑えることができます。

クラウドのバックアップ ソリューションは、月々わずか数ドルで個人デバイス内のファイルや写真、動画を保護できます。個人レベルではセキュリティやバックアップ対策が万全でも、物理面では何が起こるかわかりません。携帯電話を紛失してしまったり、子供がノートパソコンに飲み物をこぼしたり、ハード ディスクが突然壊れたりしても、最重要コンテンツを復旧および復元できることがわかっていれば安心して生活できるでしょう。

不正なリンクを 1 度クリックしただけで資金面、評判面、業務面の影響が発生してしまう可能性があることを十分理解する必要があります。組織におけるセキュリティ向上のためのシンプルなベスト プラクティスに従い、重要データの保護と保存に努めましょう。

 

当社のウェブページでは AvePoint Cloud Backup が持つ強力な機能を掲載しており、ランサムウェア等のデータ損失を引き起こす原因からデータを保護する方法について詳細をご確認いただけます。

紹介ブログ:クラウドバックアップとは?AvePoint Cloud Backupでデータロス対策を

関連ブログ①:ランサムウェアとは?仕組みと対策は?被害防止のコツ

関連ブログ②:増加を続けるランサムウェアの被害を防ぐ 9 つの対策

バックアップソリューションの導入事例はこちら

データ保護のベストプラクティスをご紹介!eBook公開中

ウェビナー随時開催中!Microsoft 365 のデータ保護に関するオンデマンド動画もご覧ください。

 

組織におけるセキュリティについて詳細をもっと知りたい方は、当社のブログにご登録ください。

Share this blog

ブログを購読する