現在、多くの企業が情報漏えいの標的にされており、企業は自社の機密データや顧客情報を不正利用されるリスクにさらされています。このような情報漏えい事件に1回巻き込まれただけでも、多くの企業は壊滅的な損害を受け、傷つけられた企業ブランドやイメージを回復するために必要とされるコストと労力は、多大なものとなります。特に中小企業の場合は、1回情報漏えい事件を起こしただけでも、法的責任と顧客からの信用の失墜により、企業が完全につぶれてしまう可能性すらあります。
ベライゾン社の最近の調査によると、2009年の情報漏えいは140件でしたが、2010年には760件と、過去最高の件数を記録しています。一方、盗み出された記録は、2009年には1億4,400万件だったのに対し、2010年は約400万件と減少しています。この値から、一度に数百万件もの記録が危険にさらされる大規模な情報漏えいが減少し、より小規模な情報漏えいが急激に増加している状況が明らかになっています。また同調査から、2010年の情報漏えいの92%は外部からのハッキング攻撃によるもので、2009年の22%から増加したことも明らかになっています。盗まれたデータの約80%は、PCにアクセスするためのバックドアを提供するマルウェアにより盗まれたものでした。
多くの犯罪者は、重層的なセキュリティ対策を講じている大企業から、より小規模なデータベースを持つ中小企業をターゲットにするようシフトしています。その一方で、多くの中小企業は、従業員、資源、テクノロジーに限界があり、セキュリティ、リスク、法規制といった要件を効果的に管理することが難しいのが現状です。事実、中小企業が総合的なセキュリティ戦略を導入するのは決して容易なことではありません。しかし、企業を取り巻くリスクは企業規模に関係が無いため、中小企業も何らかの対策を積極的に取って行く必要があります。今回は、頻発する情報漏えい事件に対し、中小企業が行うべきセキュリティ対策を5つのステップに分けて紹介します。これらの対策を全体的なセキュリティ戦略の一環として行うことで、データ保護の効果を高め、リスクを減らし、ポリシーや法規制へのコンプライアンスをより効果的に実現することができるでしょう。
- データ品質評価を実施する
まず、中小企業は、法的規制の対象になっている情報や知的財産を含むデータストアなど、機密領域に格納されているデータストアの意味や品質、およびスケジュールを見直すべきです。このデータ品質評価は、追加のセキュリティプロトコルが必要と思われるデータベースや、ハッカーの進入路となる可能性のある脆弱性を特定するために行う必要があります。 - 全てのデータ接触ポイントの説明書を作成する
次に、中小企業は、誰がどのデータストアを担当しているのか、どのアプリケーションがデータストアを使用しているのか、その業務目的は何か、といった情報が一目でわかる「説明書」を作成する必要があります。このステップは、アプリケーションアクセスの有効なセキュリティロールを作成する上で不可欠なものであり、データセキュリティ対策上きわめて重要なステップといえるでしょう。自社で使用しているアプリケーションが、データとどのようなやりとりをしているのかを明確に把握することができれば、入力された場所でデータを保護するためのプロセスを確立することができるからです。 - 定期的にシステムの再点検を実施する
企業内に新しいアプリケーションを導入する場合には、アプリケーションの導入と同時に、新たな脆弱性を持ちこまないようにする必要があります。特にオンラインのバックアップサービスなど、価格が手ごろなクラウドアプリケーションに移行する場合、機密データは企業のファイアウォールの外側に格納されることになるため、中小企業は、データベースをクラウドに構築するメリットと機密データを第三者の手に委ねるリスクを比較検討しなければなりません。 - 総合的かつ具体的なセキュリティポリシーを開発する
セキュリティベンダーが提供する「付加価値」の一つとして、数々の顧客の導入事例を通して得られた豊富な経験と幅広い成功事例があげられます。中小企業は、特定の業界の専門的知識を有し、かつ自社の垂直市場で多数の顧客を持つセキュリティベンダーを選択するべきです。 - 総合的なソリューションを導入する
顧客や会社のデータを適切に保護するためには、中小企業も大企業と同様に、データが格納されている全ての場所に総合的なセキュリティソリューションを導入する必要があります。セキュリティに対する総合的なアプローチは、以下の3つの特徴を備えている必要があります。- ソリューションはスケーラブルであり、事業の成長に応じて拡張可能でありながら優れたコスト効率を維持することができる
- 導入が簡単であり、展開と維持に必要となる時間と資源が最小限で済ますことができる
- データベース層を含め、機密データが格納されている全ての領域を簡単かつ確実にサポートすることができる
データベースの活動状況の監視に加え、脆弱性管理を組み合わせることにより、中小企業は自社のセキュリティの状態を総体的に把握することが可能になり、リスクをさらに緩和させると共に、会社に損害を与えるような重大な漏えい事件からも自社の機密データを守ることができるでしょう。
関連記事
- [2011/09/26] 中小企業が実践すべきセキュリティヒント10
- [2010/12/03] Wikileaksのニュースで情報漏えい対策の再検討を!