このシリーズは今回で第7回目となり、いよいよ最終回を迎えました。読者の皆さんはすでにたくさんの事実や数値データによって、データ流出の真実-誰によって、どんなデータを、どこで、なぜ、どのように行われるのか-を知りました。すでに対策はできていますか?今回のブログでは、データ流出を防止する対策について取り上げます。
データ流出「ゼロ」クラブへの仲間入り
セキュリティの解決に、敵を一発で倒す確実な方法がないことは周知の通りです。それでは、解決の答えとは何なのでしょうか?まず、データ漏えい防止(DLP:Data Loss Prevention)から始めることです。当社が実施した一次調査によると、インタビューを行ったセキュリティ専門家の70%が、DLP技術を活用することで、組織においてデータ漏えいインシデントの防止が可能だと答えています。
DLPをすでに導入している場合、有効性を確認してください!実施している対策が監視のみに限定されておらず、防御アクションが可能であるかどうかも確認してください。すでに保有している有効なリソースを活用していなかったり、適切なDLPを選択していなかったことが原因で、データ漏えいインシデントの統計データに皆さんの組織名が載るようなことは絶対に避けてください。
データ漏えいの可能性を最小化する最も有効な方法の1つは、DLP、暗号化、そして侵入防止システム(IPS:Intrusion Prevention Systems)の3つを組み合わせることです。この多層型のアプローチは、結果として、データ漏えいの発見と予防に最も効果的だったことがわかっています。勇気を出してください。Captain Hindsight(キャプテンハインドサイト:米国アニメ、突如として「あと知惠」の凄まじい能力が目覚めたヒーロー)のマントは捨てて、「やれたはず、かもしれない、すべきだった」のような単語は頭の中から消し去りましょう。
理想的なDLP
皆さんの現在のDLP対策の状況は、これから準備をする、または実施しているが不十分な状況かもしれません。私たちは皆さんや最高情報セキュリティ責任者(CISO:Chief Information Security Officer)を責めるつもりはありません。新年度に入りました。大きな夢を持ち、すべてをカバーするDLPソリューションを導入しましょう。信じられないかもしれませんが、このようなソリューションは存在します。その一部を以下に説明します。
- エンドポイント上、ネットワーク上、ストレージシステム上、社内、社外を含むあらゆる場所に存在する、保存データ、使用データ、通信データを保護する
- データの用途、利用者、データの漏えい経路を可視化する
- データのスキャンや修復を自動化できるように、データを分類して優先順位を付けてデータを把握しやすくする
- 入力データと出力データにポリシーを適用して、クラウドアプリケーション間とのデータのやりとりを含め、個人情報規定を確実に遵守できるようにする
- ネットワークトラフィックをリアルタイムで常時スキャンして、未知のリスクの発見につなげる
- 監視と報告を一元化する
- 時間は最重要であり、迅速かつシンプルに対応する
さて、私のあとに続けて言ってみてください。「私は今、データ流出を防ぐことを誓います。私は信頼するセキュリティベンダーの助けを借りて、全力を尽くします」。
7回にわたった連載もこれで終了です。みなさんは、これからやるべきこと、そして相談相手はわかっていると思います。みなさんの決意を確かなものにするため、以下のリソースを繰り返し熟読してください。
- ブローシャ(英文):「Is data leaking out on your watch?」(監視中にデータが漏えいしていませんか?)
- レポート(英文):「Grand Theft Data」(データ窃盗)
- Webキャストの視聴(英文):「Data Exfiltration in Depth」(データ流出の詳細)
※本ページの内容は2016年3月9日更新のMcAfee Blog の抄訳です。
原文: Data Exfiltration, Part 7: Stop Breaches Before They Happen with Data Protection
著者: David Bull
【データの流出ブログシリーズ(全7回)】
- 第1回:誰が、何を、なぜ、どこで、どのように窃取するのかを考える
- 第2回:あなたのデータを狙っているのは誰?
- 第3回:データ窃盗犯の目的
- 第4回:データはなぜ壁を突破して流出するのか
- 第5回:サイバー犯罪者が利用する手口とは?
- 第6回:窃盗犯がデータを探す場所
- 第7回:データを保護することで、データ漏えいを事前に阻止する(本稿)