暗号化対策をどこから着手すればよいのかわからない、そんな企業に対してセキュリティベンダーのソフォスが考えるべき4つのポイントを挙げている。
データの流れ
あなたの組織では、添付ファイルの付いた電子メールのやりとりが多いだろうか?
USBスティックなどの取り外し可能なデバイスでデータをやりとりしていたり、社内および社外で大容量ファイルをどのように保存しているか。また、DropboxやBox、Microsoft OneDriveなどのクラウドサービスを利用しているかなど、把握すべきポイントは多い。
ほかにも、スマートフォンやタブレットの問題がある。同社の調査によると、平均的なテック系ユーザーは3台の端末を持ち歩いている。これらのさまざまなデバイスが企業データにアクセスするのをどのように管理しているか、考え直してみよう。
暗号化ソリューションを考えるにあたっては、社内でデータをどのように利用し、データが社内・外をどのように流れているのか、しっかりとフィットするものが重要なのだ。
データの利用
従業員のワークフローはどうなっているだろうか?
日常の作業においてデータをどのように活用しているか、どんなツール、アプリ、デバイスを利用していて、その中にデータ損失のリスクとなるものはあるのか把握することが重要だ。
中でも、サードパーティのアプリの利用法を理解し、ITが知らない間にサードパーティのサービスを業務に利用している「シャドウIT」を禁じるかどうかを含めて検討する必要がある。
これらのシステムのセキュリティが信頼できるレベルにあるか、今一度振り返ってみよう。
データへのアクセス
倫理と規制の両方の面から議論されるトピックがこれにあたる。
会社の状況によって違うが、給与や人事に関連するものなど、一部のデータについてはユーザーのアクセス権限を見なおす必要があるだろう。
データの保存場所
最後は「データがどこに保存されているのか」だ。社内のデータセンターか、あるいはクラウドか、はたまた従業員のノートPCやモバイル端末の中にあるのか? 実態を知る必要がある。
Tech Pro Researchの調査によると、企業の74%が従業員の私用端末の業務での利用を認めるBYODを許可する方向にあるという。
従業員が自宅や外出先で仕事をする際に機密扱いの企業データを自分のデバイスに入れることになれば、データ漏えいや規制遵守の違反のリスクが高くなる。
企業のデータ保護計画は、上記の点を考慮しながら、自社の事業をベースとしたものでなければ意味がない。
最も重要なことは、従業員のワークフローに影響しない形で暗号化ソリューションを提供・管理できることだ。