写真提供:マイナビニュース

写真拡大

暗号化対策をどこから着手すればよいのかわからない、そんな企業に対してセキュリティベンダーのソフォスが考えるべき4つのポイントを挙げている。

○データの流れ

あなたの組織では、添付ファイルの付いた電子メールのやりとりが多いだろうか?

USBスティックなどの取り外し可能なデバイスでデータをやりとりしていたり、社内および社外で大容量ファイルをどのように保存しているか。また、DropboxやBox、Microsoft OneDriveなどのクラウドサービスを利用しているかなど、把握すべきポイントは多い。

ほかにも、スマートフォンやタブレットの問題がある。同社の調査によると、平均的なテック系ユーザーは3台の端末を持ち歩いている。これらのさまざまなデバイスが企業データにアクセスするのをどのように管理しているか、考え直してみよう。

暗号化ソリューションを考えるにあたっては、社内でデータをどのように利用し、データが社内・外をどのように流れているのか、しっかりとフィットするものが重要なのだ。

○データの利用

従業員のワークフローはどうなっているだろうか?

日常の作業においてデータをどのように活用しているか、どんなツール、アプリ、デバイスを利用していて、その中にデータ損失のリスクとなるものはあるのか把握することが重要だ。

中でも、サードパーティのアプリの利用法を理解し、ITが知らない間にサードパーティのサービスを業務に利用している「シャドウIT」を禁じるかどうかを含めて検討する必要がある。

これらのシステムのセキュリティが信頼できるレベルにあるか、今一度振り返ってみよう。

○データへのアクセス

倫理と規制の両方の面から議論されるトピックがこれにあたる。

会社の状況によって違うが、給与や人事に関連するものなど、一部のデータについてはユーザーのアクセス権限を見なおす必要があるだろう。

○データの保存場所

最後は「データがどこに保存されているのか」だ。社内のデータセンターか、あるいはクラウドか、はたまた従業員のノートPCやモバイル端末の中にあるのか? 実態を知る必要がある。

Tech Pro Researchの調査によると、企業の74%が従業員の私用端末の業務での利用を認めるBYODを許可する方向にあるという。

従業員が自宅や外出先で仕事をする際に機密扱いの企業データを自分のデバイスに入れることになれば、データ漏えいや規制遵守の違反のリスクが高くなる。

企業のデータ保護計画は、上記の点を考慮しながら、自社の事業をベースとしたものでなければ意味がない。

最も重要なことは、従業員のワークフローに影響しない形で暗号化ソリューションを提供・管理できることだ。