第5回
データセキュリティ(パート3):適切なデータセキュリティ戦略にするために
原文:
https://www.idbs.com/blog/2018/01/data-security-part-three-getting-your-strategy-right/
適切なデータセキュリティ戦略に則った運用は、あらゆるビジネスにとって不可欠です。IDBS社Scott Hluhanich氏が寄稿する、データセキュリティシリーズのブログ最終回では、ビジネスパーソンがデータセキュリティに関して知っておくべきことについて解説しています。
Gartnerによる「2014〜2015年トップセキュリティトレンド」に示されるよう、データセキュリティの戦略として、データ中心型の保護と監査のアプローチが推奨されています。この推奨される戦略には、3つの要素が含まれます。更にUS Computer Emergency Readiness Team(US-CERT)は、以下の4つ目要素を推奨しています。
●データ分類
●データ保護
●アクティビティモニタリング
●外部ストレージデバイスの使用を制限する
データ分類
Gartnerは、データの発掘と分類の重要性を強調しています。データ識別のための属性付加による分類は、どのようにデータを取扱い、保護するかを決定するうえで役立ちます。データ探索と分類を介したデータの定義は、しばしば見過ごされることがありますが、データセキュリティとコントロールを検討するための必須要件となります。組織のリーダーは、組織内のどこに・どのようなデータが存在しているか、データの組織に対する価値、また誰が利用できるデータかについて認識していないと、データを適切に保護することができません。
E-WorkBook Cloud は、各Experimentに対し、容易なデータ分類を実現する仕組みを提供しています。具体的には、E-WorkBook Cloudで作成された各Experiment(E-WorkBookで作成される実験情報の単位)にはメタデータ・タグが含まれているため、保護データのファイリングミスを即時に特定することができます。例えばシンプルなルーチンデータベース検索で、アクセス制限が不十分な場所に配置されている保護情報を、直ちに洗い出すこともできます。更に、指定されたユーザーまたはユーザーグループだけが、付与された権限に基づいて、特定のデータエンティティ(E-WorkBookで定義される様々なデータのタイプ)へのアクセスが許可されるようになります。
データ保護
データの適切な保存・保護には、ユーザーのニーズを考慮し、適切なアクセス権限を付与することが重要となります。権限を付与されたユーザーだけが、厳重なセキュリティを要するデータにアクセスできる必要があります。E-WorkBookでは、特定のユーザーまたはユーザーグループ単位で権限の付与ができ、またシステム管理者により、再付与も容易に行えます。システム内のほぼすべてのアクションに対し、与えられた権限に従い、許可または取り消しが行えるようになります。
アクティビティモニタリング
効果的なアクセス制御は、侵入に対するバリアを張るだけでなく、特定のシステム内で特定のユーザーが何をしているかより明確に把握できるようにする必要があります。内部脅威の防止と管理者へのコンプライアンス報告に関する推奨の大部分は、特権ユーザー監視と監査(Auditing)だと、Carnegie Mellon Computer Emergency Response Team(CERT)は提唱しています。
多くの組織では、アクセス権限を継続的に監視・監査するという機能が不足しているため、適切な権限を持つユーザーだけを内部ネットワークにアクセスさせることが困難になっています。 このタイプのアクティビティモニタリングは、Gartnerによって、効果的なデータセキュリティポリシーを保つ上では不可欠な機能として強調されています。ライブデータの監視を実行することで、データ侵害を緩和・防止するための即時対応が可能となります。
E-WorkBookプラットフォームでは、システム内におけるデータ閲覧も含む各ユーザーのアクティビティはシステム監査ログにより記録されます。システム監査ログが取られているため、違反が発生した場合には、ユーザーの活動をフォレンジック調査することができます。この 監査ログに加えて、ユーザーアクティビティを一覧化したダッシュボードの表示ができるため、ユーザーアクティビティの追跡が容易に行えます。
外部ストレージデバイスの使用を制限する
最後に、米国コンピュータ緊急事態対策チーム(United States Computer Emergency Readiness Team)では、組織がUSBメモリや外部ドライブなどの外部ストレージデバイスの使用を制限することを推奨しています。 これには、パーソナルデバイスの使用を禁止し、転送中にデータを暗号化するためにSSL(Secure Sockets Layer)機能を使用するデータセキュリティポリシーを設けることが含まれます。
E-WorkBook Cloudは、外部ストレージデバイスの使用を削減・排除するのに役立つ、複数の機能を備えています。WebベースのE-WorkBookを使用すると、ネットワーク接続されたコンピュータからE-WorkBookのExperimentへ、セキュアにファイルを転送できます。 また、E-WorkBook PDFプリントドライバを使用すると、任意のネットワーク機器からダイレクトに、E-WorkBookへレポートとして転送できます。 また、E-WorkBookデータインポートユーティリティは、実験装置やネットワークのファイル共有から、E-WorkBookへの構造化データ取り込みを容易にします。
E-WorkBook Cloudのセキュリティと堅牢性の詳細については、こちらの資料をご覧ください。