データ保護の「十戒」

Background Image on Blogs "Quilted" Page: 
image/png icondata-protection-quilt2.png
Publish to Facebook: 
No

人間は、過去数千年の間に大きな変化を遂げてきましたが、人間性の本質はそれほど変わっていません。文明社会と善良な市民を生み出すには、かつて天から与えられた単純な 10 カ条の戒律が、今もなお有効です。

そう考えると、データ保護についても「十戒」をあげることができるのではないか。それが今回のブログのテーマです。

デジタル革命が進むにつれて、データのセキュリティは複雑化の一途をたどっています。適切なデータ管理を考える組織は、データの保護に必要な対策を数多く取り入れ、実施するようになりました。それ以上に優れたデータ管理を考える場合には、テクノロジーとプロセス、人間の行動まで複合した統合的なシステムを運用しています。そうしたことを踏まえて、筆者が考えた「データ保護の十戒」をご紹介しましょう。

  1. データを理解すること

    どのデータが重要かを判断できなければ、データの保護は始まりません。重要なデータを、間違いなくすべて割り出すには、人と技術を総動員する必要があります。なかには定義の簡単なデータもあるので、データ漏えい防止(DLP)やクラウドアクセスセキュリティブローカー(CASB)といった技術さえあれば、保存されたデータでも、移動中あるいはクラウド上のデータでも、識別は万全です。しかし、真の理解を得るためには、人の力を動員しなければなりません。データの所有者が重要なデータにタグ付けしてくれれば、データの存続期間を通じてずっと、データを確実に分類することができます。

  2. 必要なデータだけを一貫して保護すること

    重要なデータを包括的に把握できたら、それを安全に保護する段階に進みます。一番いいのは、暗号化です。データを分類して保護の必要性を決めておけば、重要度に応じた適切な保護を一貫して適用できるので、「いつも決まった操作を繰り返す」という無駄を省くことができます。

  3. あまねく保護を実施すること

    ものごとは、白黒が常にはっきりしているわけではありません。だとすれば、その中間にあるグレーな領域はどう保護すればいいのでしょうか。たとえば、一部のユーザーに文書を開くことや編集することまで許可できても、プリントアウトは許可したくない場合があります。暗号化を次のレベルにまで進め、デジタル著作権管理を導入すれば、柔軟性と管理性が向上します。

  4. クラウドの明るい面を活かすこと

    クラウドには、人間性の最善の部分と最悪の部分が表れます。オープンなコラボレーションの場で個人が寛容の精神を発揮できる反面、その寛容性があだとなってデータの共有が行きすぎになれば、そこから信頼が崩れかねません。そこを補うには、データを徹底的に、クラウドに至るまで保護することです。そうすれば、データがどこに、誰の手元にあっても、寛容の精神が常に善良な方向にのみはたらきます。

  5. 秘密を解ける相手を限定すること

    復号鍵は、悪意のある者の手に渡ってしまえば、危険なものになります。データにアクセスできるユーザーは、どうすれば制御できるのでしょうか。復号鍵だけに頼るのではなく、ユーザーの ID もプロセスに組み込むという手があります。三次元的に多要素認証まで追加すれば、文書を開いたユーザーが、なりすましではなく、間違いなく本人であるという信頼性はかなり高くなるはずです。アカウントの乗っ取りを防ぐ土台にもなります。

  6. 監視の目を怠らないこと

    優秀な羊飼いが、羊の群れをもらさず見守る能力を有しているように、あらゆるデータユーザーを監視する必要があります。部外者や遠隔地のユーザーであれば、なおのことです。

    文書にアクセスするユーザーを認証すれば、誰が、どのデータに、どこからアクセスしているのか監視する手段になります。行動規範を示し、誤った行動をとらないよう事前に介入することもできます。重要なデータが優先されやすい環境を築けば、無事に万全な保護を達成できるでしょう。

  7. データレベルの制御によって、どこでも保護を実現すること

    未知なるものを怖がる必要は、もうありません。仮にデータが四方八方に分散しており、クラウドや無数のデバイス上に、また複数の国やユーザーの手元に何度も保存されるとしても、情報中心のセキュリティがデータを安全に保護します。たとえば、データレベルで ID ベースの認証を使えば、十全な制御を保つことができます。適切なユーザーだけが所定のアクセス権をもち、状況に応じてセキュリティを昇格(または降格)できるようになります。たとえば、ユーザーがリモートで、管理対象外のデバイスからデータにアクセスしている場合には、認証のレベルを増やすなどの方法があります。

  8. いつでもデータへのアクセスを取り消せる態勢を築くこと

    ユーザーの転居、新しい役職への異動、外部ベンダーの変更などがあった場合には、どう対処しますか。これまでに提供していた情報は、回収できるのでしょうか。誰がデータにアクセスしているかを追跡できるようになれば、データが不正利用されるリスクを把握できます。社内からでも社外からでもユーザーのアクセスを追跡して制御できるクラウドホスティング型のサービスを使ったシステムで、「実践可能なインテリジェンス」が提供されます。

    ユーザーがふだんと違う行動を始めたり(クレジットカード会社も、不正利用を検出するために異常な消費行動を監視しています)、データを保持する正当な事由がなくなったりした場合には、そのユーザーのアクセス権を制限する、あるいは完全に抹消することができます。そのため、リモートで文書を削除できないユーザーでも(その実際の方法はまだ確立していませんが)、ロックして鍵を破棄してしまえば、その文書を読み取り不可に設定することはできるわけです。

  9. 真に重要なデータだけを管理すること

    ひとつ、皮肉な問題があります。保護すべきデータが増え続けているだけではなく、データ保護の方法によってデータが増える結果になっているということです。データによってデータが増える、そんな相乗効果と言えるでしょう。重要なデータをひとつ残らず監視し、それがクラウドに移動中なのか、モバイルユーザーやデバイスによってアクセスされたのかを、余さず把握する ― それが不可能である以上、真に重要なデータだけに絞ることが必要になります。問題は、それをどう見分ければいいか、ということです。

    こんな例を考えてみましょう。社外に出ていく重要データを保護するようにシステムが設定されていれば、そのデータは安全であり、何もする必要はありません。しかし、そのデータ保護システムが単独で動いている場合、いくつものイベントが発生し、またたく間にチームの処理量を超えてしまいます。

    この問題を解決するのが、データ保護システムのインテリジェントな統合です。さまざまなシステム(DLP、CASB、情報中心の暗号化、認証など)から情報を照合するデータオペレーションセンターが確立している世界を想像してみてください。真に重要なイベントに限定して対処できるので、意味のあるものとないものを区別しやすくなります。

  10. 個人アカウントのレベルで脅威を防ぐこと

    アカウントの乗っ取りは大きい問題です。正規のアカウントが悪質な犯罪者によって操られれば、セキュリティシステムは堂々と正面から突破されてしまいます。なにしろ、攻撃者が玄関口の鍵を手にしたのも同然だからです。

    データにアクセスしているユーザーだけではなく、アクセスの方法まで監視できれば、大きな手がかりが得られます。データオペレーションセンターのデータをマイニングし、ユーザー行動に関する解析と関連付けることができれば、リスクの発生する場所を突き止められます。実際に乗っ取られたユーザーアカウントを発見するほか、誤ってデータを危険にさらしている善意のユーザーも特定できるはずです。要するに、そうした情報に対処してリスクをいち早く封じ込めることができ、場合によっては侵害そのものを食い止めることもできるということです。

    情報中心のセキュリティ

    以上の「十戒」を守れば、データ保護のレベル向上を図ることができます。技術と人を総動員し、相互に情報共有やサポート、助力を期待できる一方、大きいリスクも一部では軽減されます。シマンテックは、このような原則にのっとって、情報中心のアプローチを推し進めています。その目的は、情報の流れを止めることなく、情報共有の相手とその方法を管理下において、たとえ外部ユーザーとの間であっても、情報の可視性と管理性を両立させることです。アクセス権はいつでも取り消せるので、動的な保護が実現します。ユーザーが情報の波に押しつぶされてしまうのは本末転倒です。そのため、シマンテックは遠隔測定を利用してその波を乗り越え、真に重要なデータだけを保護するよう努めています。また、スマート解析を通じて、侵害が起きる前に、あるいは起こった直後に、迅速で確実な対応をとることができます。

    それでは、改めてデータ保護の十戒をまとめておきましょう。

    1. データを理解すること

    2. 必要なデータだけを一貫して保護すること

    3. あまねく保護を実施すること

    4. クラウドの明るい面を活かすこと

    5. 秘密を解ける相手を限定すること

    6. 監視の目を怠らないこと

    7. データレベルの制御によって、どこでも保護を実現すること

    8. いつでもデータへのアクセスを取り消せる態勢を築くこと

    9. 真に重要なデータだけを管理すること

    10. 個人アカウントのレベルで脅威を防ぐこと

    さらに詳しい情報をご希望の場合は、こちらで筆者による最近のオンラインセミナーをご覧ください。Heidi Shei 氏(Forrester Research)が、データ保護に関するたくさんの課題について解説しており、筆者がシマンテックの Information Centric Security(情報中心のセキュリティ)のアプローチを実演しています。

【参考訳】

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://ift.tt/XE8O0C にアクセスしてください。

* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション http://ift.tt/2yBkEge もご覧ください。



from ransomware-malware-blade http://ift.tt/2jVYjHc
via Specialisti Securitate IT in Cluj-Napoca, Romania

Comentarii

Trimiteți un comentariu

Postări populare de pe acest blog

数据保护十大准则

Imagine
Background Image on Blogs "Quilted" Page:  data-protection-quilt2.png Publish to Facebook:  No 人类在过去几千年里经历了巨大变革,对于人类社会来说,过去传下来的十条简单准则在确保国富民强方面仍非常奏效。 这使我很想知道我们是否能找到十条数据保护的准则,而这就是我们在本博文中所探讨的内容。 随着公司凭借数字化转型而不断演变,数据安全变得更为复杂。负责的数据管理人员开始整合大量相关元素,以保证数据的安全,而优秀的数据管理人员更是创建了各种整合体系,将技术、进程和人类行为相互结合。以下是 数据保护的十条准则 : 了解您的数据 如果您不能确定哪些数据是敏感数据,则明显无法对其进行保护!尽可能利用人才和技术,确保您能识别所有敏感数据。某些数据很容易定义,因此诸如数据丢失预防或云访问安全代理(CASB)等技术可很好地发现这些数据,无论数据是处于固定或移动状态,或是在云端。然而,在融入人为因素之后,一切问题才真正地迎刃而解。这使数据拥有者也可对敏感数据进行标记,因此您在数据整个生命周期内都可对其进行分类。 始终如一地保护属于您的数据 现在您已经对敏感数据有了全面了解,接下来就是确保数据的安全。最好的方法是什么呢?那就是加密。使用数据分类以确定保护需要,这样您便能够依据敏感性级别采用适当的保护方法,避免每次都“重蹈覆辙”。 提供无所不在的保护 不是所有事情都黑白分明,那么您怎么在灰色区域执行保护呢?例如,可以让某些人打开文档,或甚至进行编辑,但却无权打印。将加密技术进行升级,整合数字版权管理,使您具有更高的灵活性和控制力。 给云一线希望 云代表了人类社会最好和最差的一面。云使人们能够开放式协作,展示出人类精神的慷慨大度。但是这种慷慨大度可导致数据被过度分享,损坏了人与人之间的信任。这里有一个更好的方法,那就是基于数据的保护,这样即使在云端,也可确保无论在何处或是由何人来保护数据,慷慨大度的精神始终是一件好事情。 不要让任何人破解您的秘密 解密密钥落入坏人之手将非常危险。您如何控制谁可以访问您的数据呢?与其仅依赖于解密密钥,不如将用户的身份嵌入至进程之中。此外,如果您添加第三维的多因素身份验证,您便可
Citiți mai multe

Mobile Menace Monday: A race to hidden ads

Imagine
Who doesn’t love a good motorcycle racing game, right? How about one easily available on Google Play, a “safe” place for all your Android app desires? How about a bike racing game that sticks with you so much, you can’t easily uninstall it? And it displays hidden ads? Wait, what!? That’s right! In the slideshow below, a game titled Motorcycle Race—Bike Race (package name: com.bikeme.racersm) has rave  reviews by users who demand to know how to uninstall the game. Click to view slideshow. Rev your engines for heightened privileges So how does one get into such a predicament? That all starts with the install process. Upon installing Motorcycle Race—Bike Race, the first screen asks to Activate device administrator. Okay, so obviously a bike racing game requesting device administrator rights with permission to Lock the screen is a big red flag. However, if you didn’t catch that, there’s another clue that something is amiss. Look at the app name asking for permission: Media Player.
Citiți mai multe

Ransomware attack: a cautionary example from one small business | Avast Business

Imagine
“You feel invaded and vulnerable. This was his business, his baby, and it could all be over because some hackers were after a bit of cash.” Names like Bad Rabbit, WannaCry and CryptoWall make the news due to the massive impact ransomware attacks have. Hackers cost individuals and businesses $5bn in 2017 , and that figure is predicted to rise in 2018 to an astonishing $11.5bn . Avast alone blocked 132,000,000 ransomware attacks in 2017. Most people understand how ransomware works – it’s in the name – but what’s it like when it happens to you and your business? What’s it like when the boss announces: ‘We’re being attacked’? We spoke to Chris* who offers us an example of what happens when ransomware hits your business. This is his story - a detailed account of four days he will never forget. “It didn’t just happen … it unfolded,” he says. *Chris’s name has been changed and some of the details have been omitted or altered to protect the identity of those involved. The prolog
Citiți mai multe