1月28日はデータプライバシーの日です。組織や個人がプライバシーとデータの保護プラクティスを正しく理解できるように促進するための日です。世界中のほぼ50か国で設けられ、欧州連合では2007年にイベントが開始され、2009年には米国合衆国議会によって認められました。
FireEyeが発表したSolarWinds社のOrionによる侵害や、犯罪者フォーラムで売りに出された米国有権者情報の巨大データベースの検出など、最近注目を浴びた侵害が示すように、私達のデータはますます危険に晒されています。あらゆる種類の組織にとって、データを安全に保持することは、リスクとコンプライアンスの観点からだけでなく、ビジネスの成功を強化するためのパラダイムを通じても、これまで以上に極めて重要になっていきます。消費者は、自分達のデータがどのように取り扱われているかについて懸念を強めるにつれ、強力なデータ保護ポリシーを定め、データを安全に処理している実績のある会社の製品を購入し、そのような会社をより強く支持するようになります。
調査レポート
2020 Trustwave データセキュリティインデックス
本レポートでは、テクノロジーの傾向、侵害のリスクおよび規制によって組織のデータを保存および保護する方法がどのように具現化されつつあるかが示されています。レポートは、組織内でサイバーセキュリティ意思決定者またはセキュリティインフルエンサーを務める、966人の専任のITプロフェッショナルを対象とした最近の調査に基づいています。回答者の75%以上が、米国、英国、オーストラリア、シンガポールを含む主要な地理的地域で従業員500人以上の組織で働いています。
利害を考えた場合、組織はデータをプライベートで保持し、リスクを適切に軽減するためにどうするべきでしょうか?以下にいくつかのベストプラクティスを一覧しました。それぞれに、この極めて重要な主題をさらに詳しく学べるリソースへのリンクが張られています。さらに、National Cybersecurity Allianceはこの重要な課題に関する大量の情報を提供しており、Trustwaveにはデータプライバシーのニーズを抱える組織に役立つサービスとソリューションが用意されています。
従業員の教育を重視する。データの保護は従業員の意識を高めることから始まります。つまり、従業員が、適切なセキュリティ衛生を実践する方法と、フィッシング、ビジネスメール詐欺、具体的に人的要素を標的としたその他のエクスプロイトなどの最も頻度の高いサイバー攻撃から自身(とビジネス)を保護する方法を理解できるようにすることです。また、大半の組織では、コンプライアンスの理由から、セキュリティ意識教育のトレーニングとポリシーが必須である点にも注意する必要があります。CISO向けデータソリューションに関するブログ、サイバーセキュリティに関する最も重要なヒントのインフォグラフィック、およびサーバーセキュリティ教育に関するデータシートで、この課題のさらなる詳細をご覧ください。
データストレージを綿密に計画する。現在の組織、特にエンタープライズレベルの組織が扱うデータ、ますます不規則な広がりを見せています。2020 Trustwave データセキュリティインデックスで示されたとおり、大半の組織が複数のクラウドプロバイダーを利用して、データをハイブリッドクラウド/オンプレミスストレージモデルに移行しつつあります。レガシーデータに関する懸念が頻繁に発生するため、合併または買収が行われた組織、または今後予定されている組織には、特別な懸案事項が存在します。データのリスクの軽減、データをクラウドでホストすることのリスクについてさらなる詳細をご覧ください。また、攻撃者がデータに到達するために試す5つの方法を示したインフォグラフィックをご確認ください。
隠れた脆弱性を認識する。大半の組織は、通常、パートナーとベンダーにはデータを保護する責任がないことを理解していません。クラウドプロバイダーはデータ保護に対する責任を共有していると、よく誤解されていますが、そのような責任はありません。Google、Azure、AWSなどの大手プロバイダでさえ、侵害に対する責任はありません。Trustwave SpiderLabsの研究者がしばしば発見する一般的な脆弱性は、デフォルトのサーバクラウド設定に依存している組織に起因しています。別のよくありがちな隠れた脆弱性は、データベースにパッチを適用する慣習がずさん、または遅いために引き起こされています。
少ないほど良いことを忘れない。収集するあらゆるデータが潜在的なリスクを高めるため、リスクを軽減する最も単純な方法は、絶対に必要なデータのみを収集することです。多くの組織は、不要なデータを実際にどのタイミングで破棄するのが適しているのかについても検討し始めています。これは、特定のコンプライアンス状況での考慮事項の1つでもあります。さらに、組織は常に最小権限の原則、つまり、従業員はそれぞれの職務を遂行するために必要なデータのみにアクセスするという原則に従う必要があります。ユーザー権限を定期的に見直すことも極めて重要です。
当然ながら、データを保護するための最も重要な戦略の1つは、侵害を検出し、それに対応するためのプログラムを導入することです。非常に多くの組織がマネージドスレットディテクション&レスポンスソリューションに切り替えつつあるのは、そのためです。大半の組織にとって、いずれ侵害されるかどうかが問題なのではなく、侵害されたときに対応するためにどのように準備するかが重要である事を忘れないでください。