また、組織的な観点から重要になるのがコーポレートガバナンスとITガバナンスの関係である。ITガバナンスが持つ本来の定義は、コーポレートガバナンスのゴールを目指して、ITをどのようにビジネスへ活かしていくか、ということだ。必然的にITで守るべき情報とは、企業が必要としている情報と同義になる。
しかしITという枠組みの中だけにいると、この本質を見失う場合が出てきてしまう。ラスカウスキー氏は「あくまでもコーポレートガバナンスに沿った目標を達成するためのITであり、そのリスクを減らすためのセキュリティなのです」と語る。DLPは「時代の流れだから」「ライバル企業に遅れないように」といった目的で導入するものではない。自らの企業で本当に必要かを考え、投資額についてもガバナンスの中で決定すべきなのである。
ITガバナンスの定義とDLPの目的を再認識したところで、次に考えるべきは企業の使命に対してのリスクである。ラスカウスキー氏は「企業内には、組織の使命であるガバナンスやコンプライアンスなどを動かすためのクリティカルなデータが必ず存在します。しかし、守るべきクリティカルなデータが整理されていなければ、DLPソリューションを導入しても決して成功しません」と語る。実際に、多くの企業では一般のデータとクリティカルなデータが整理されておらず、それがどこに存在するかも把握できていない状況にある。DLPはあくまでもツールにすぎないため、データが整理されていなければ成功もあり得ないわけだ。
社内での「データの分類」ができたら、次に必要なのが「人の分類」と「場所の分類」だ。人の分類とは、情報にアクセスできるセキュリティ区分のこと。単純にアクセス権限を持っているかだけでなく、例えばIT管理者が社員の給与データを閲覧すると不自然に感じるように、その人物に対してデータの必要性を確認する作業も含まれる。もうひとつの要素である場所の分類に関しては、クリティカルな情報を閲覧するのに適した場所であるかの判断だ。
過去の事例を見ても、ノートPCやUSBメモリなどで社外に持ち出した結果、情報漏えいに発展したケースは多い。こうしたトラブルをなくすためにも、場所の分類は必須といえる。こうした背景からラスカウスキー氏は「データ・人・場所の分類という3つの条件が揃ってこそ情報への正しいアクセスができ、DLPソリューションが役に立つのです」と語る。
|
情報への正しいアクセスには「データの分類」「人の分類」と「場所の分類」という3つの条件が必要 |
情報資産の洗い出しがDLP成功への鍵
さらにラスカウスキー氏は、データの分類ができていない状態から、どのように情報区分を明確にしていくのかについても解説した。情報分類は情報セキュリティ管理の一環であり、プロセスとしてはまず最初に組織の情報資産を洗い出し、管理を実施するためのポリシーや標準、プロシージャ、ガイドラインなどを作成していく。しかし実際には「本来であれば情報の分類は一番最初に行うべきことですが、"組織の情報資産を洗い出す"という最も困難な作業があるため、多くの企業が避けて通っています」とラスカウスキー氏は語る。
|
情報区分を明確化するために必要となるプロセス |
情報資産を洗い出すための具体的な取り組みとしては、状況把握のためのアセスメント、ポリシー策定、ビジネスインパクト分析、分類作成、役割と責任の決定、オーナーの洗い出しなどのプロセスを経て、情報やアプリケーション、その他資産に分類を適用する。そして継続的な監視とインシデント対応の準備が整った段階で、ようやくDLPソリューションが導入できるようになる。つまり、この前段階を飛ばしているからこそ、多くの企業がDLPに失敗しているというわけだ。
さらに、DLPを成功へ導くにはソリューション導入後の運用プロセスも重要な役割を担っている。日々増加し続ける企業内のデータを監視し、ポリシー違反を検出した場合は担当者が対応、加えて調査チームによる追跡・分析・原因究明も必要になってくるだろう。また、確実なリスク低減を見込むには組織対象に合わせたインシデント対応フローの設計も重要だ。
以上のように、企業がDLPを成功させるには前後のプロセスが必須となる。こうした背景からシマンテックでは、戦略策定支援を行う「方針策定・技術評価フェーズ」、導入支援を行う「構築・展開フェーズ」、運用支援を行う「リスク低減フェーズ」などの段階を経て、顧客に応じたDLP関連のコンサルティングサービスを実施しているのである。
|
シマンテックが提供しているDLP関連のコンサルティングサービス体系 |
