情報セキュリティを強化する方法

企業活動では、重要なコンテンツが日々生成され、利用されています。社員の個人情報や顧客データ、製品開発のアイデアなど、さまざまな情報が業務遂行の中核を担っています。これら全ての情報を保護することは、企業の最優先事項の1つです。

ビジネスにおける情報セキュリティプログラムは、必要な人には保護されたアクセス権を付与し、そうでない人にはアクセスを制限することで、チームがリスクを生じさせることなく効率的に業務を遂行できるようにすることを目的としています。セキュリティ対策を講じることで、データの脆弱性が緩和され、信頼できる組織としてのレピュテーションの確立につながります。

ユーザー、コンテンツ、ビジネスを確実に保護するためには、情報セキュリティ対策の継続的な改善が必要です。

情報セキュリティの重要性

情報セキュリティとは、企業のデータを保護するために必要な対策と慣行全てをさします。ファイルの不正使用や不正アクセスを抑制し、意図しない変更、破壊、悪用や、利用不能になるといった事態を未然に防ぎます。情報セキュリティは、物理的なファイルだけでなく、ソフトウェアシステム上のクラウドベースのコンテンツなど、あらゆる形態のデータの管理において極めて重要です。

情報セキュリティには、データの保護と情報コンプライアンスの確保という2つの主要なカテゴリがあります。データの悪用から人や企業を保護することを目的とした、セキュリティやプライバシーに関するさまざまな規制が世界中に存在します。関連する規制へのコンプライアンスは、世界中の顧客のデータの収集と取り扱いを責任を持って行うことを意味し、ビジネスの拡大には欠かせない条件となります。

情報セキュリティの主な目的は、秘密性（confidentiality）、完全性（integrity）、可用性（availability）を維持することであり、これらはCIAの3要素と呼ばれます。これら3つの要素は、ビジネスにおけるデータの取り扱いと保存方法の指針となります。

• 秘密性：暗号化やパスワードなどの秘密保護手段を導入し、自社と顧客の情報を保護する。
• 完全性：データの改ざんを防ぎ、欠損や不整合のない状態を維持する。
• 可用性：コンテンツへの容易なアクセスを、許可されたユーザーだけに限定し、保護対象となり得るデータの制御と業務効率の向上を図る。

これらの指針に従うことで、企業の情報資産を安全に保つことができます。セキュアなプラットフォームをビジネスの基盤とすることは、製品やサービスに対する顧客の信頼にもつながります。

データセキュリティを強化して企業の資産と事業運営を確実に保護することで、業務効率が高まります。また、データ侵害によるコストを回避することで、コスト削減にもつながります。

情報セキュリティの改善

既に何らかの情報セキュリティ対策を導入している企業、これから新たな対策を講じようとする企業のいずれにも役立つ、データ保護目標の達成に欠かせない基本的要素があります。情報セキュリティの改善をめざす企業に実践していただきたいデータ保護のベストプラクティスをご紹介します。

1. データを保護する

情報を守る壁の強化は、重要な第一歩となります。パスワードや二要素認証のような手段は、権限のないユーザーを排除する防護壁となります。しかし、セキュリティを強化するには、最初の防護壁が突破された場合に備えて、データそのものに第二の保護レイヤーを構築することが必要です。

データの暗号化は、セキュアな保存・送信を可能にするために、秘密情報を含むファイルをコード化することを意味します。暗号化されたファイルは、許可された人だけが閲覧できます。複雑なアルゴリズムを用いてデータをスクランブル処理することで、権限のない人による閲覧を防止します。暗号化されたファイルは、許可された人のみが持つ正しいキーによって複合化できます。

暗号化は、ファイルの転送時に特に効果を発揮します。インターネット経由で転送されるデータや、ポータブルデバイスに保存されるデータは、暗号化によって保護され、正しい転送先・保存先に届いてからアクセス可能となります。

暗号化にはさまざまな種類があり、保護のレベルもそれぞれ異なります。業界ごとに標準化されたものや、データベース固有のものがあります。暗号化の強度は、パスワードの長さやアルゴリズムの強さ、暗号化システムと現行のデータソリューションの相性などの要素によって変わります。

ファイル暗号化ソフトウェアは、州や連邦政府のデータプライバシー規制へのコンプライアンスにも役立ちます。個人データや業務データが公共ネットワーク経由で送信される際の安全性を確保するため、多くの州が、特定の条件下でのファイル暗号化を義務付けています。

暗号化のメリット

ファイル暗号化ソフトウェアの主なメリットは次のとおりです。

• 多階層の保護：暗号化は、情報セキュリティの重要な階層の1つであり、他の要素と連携して特定のデータの脆弱性を緩和する。
• マルチデバイスのセキュリティ：暗号化ソフトウェアは、組織のメンバーが使用する全デバイスの情報を保護する。
• データ転送時のセキュリティ：転送中のファイルも暗号化で保護されるため、あらゆる段階でセキュリティが確保される。
• 情報の完全性：暗号化によってデータの改ざんを防止することで、改ざんを伴う不正行為を回避できる。

2. 内部脅威を防ぐ

外部脅威からのデータ保護対策を策定する際には、内部脅威への対策を含めて考えることをおすすめします。セキュリティの内部脅威は、外部脅威よりも高頻度で発生し、対策が難しい場合があります。内部脅威を防止するための情報セキュリティ計画の策定には、まず、どのような内部脅威に留意すべきかを知ることが重要です。

内部脅威は、企業内のファイルやアカウントへの正当なアクセス権を持つユーザーによって引き起こされます。個人の利益や会社への恨みなどの理由で、組織のデータを故意に盗んだり改ざんしたりするケースがあります。例えば、解雇やレイオフの対象となった従業員が、不満を表明する手段として、あるいはデータを売って金銭的な利益を得るために、組織のシステムへのアクセス権を失う前にデータを流出させるかもしれません。

しかし、内部脅威は偶発的に起こることが多いのが実情です。従業員の過失も要因となります。例えば、秘密情報を含むメールを誤った相手に送信する、セキュアでない個人アカウントを業務で使用する、業務用のデバイスを紛失する、フィッシング詐欺による不正なリンクや不審な添付ファイルをクリックする、といった人的ミスが内部脅威につながります。

安全な職場環境の構築、リスクの回避、内部脅威との戦いに役立つ主なポイントをご紹介します。

従業員を対象に、サイバーセキュリティの基礎的な教育を実施する

セキュリティに対する意識の向上は、偶発的なデータ漏えいを防止するための第一歩です。誰もが遭遇しうる潜在的な脅威を全従業員が認識できるよう、従業員を対象とした教育を実施します。

ひとりひとりが情報セキュリティの責任を負うことを従業員全員が認識することが重要です。組織全体でセキュリティを維持するためには、IT 部門以外の従業員にもセキュリティの慣行を徹底させる必要があります。

従業員教育で取り上げるべき主な脅威には、次のようなものがあります。

• 個人用アカウントの使用：個人用ツールの情報セキュリティは、企業向けのものとは異なる場合が多いため、会社のファイルを個人のメールアドレス宛てに送信しないよう、従業員に注意を促す。
• 誤った相手への送信：メールアドレスを注意深く確認することを全社的に習慣づけ、誤った相手へのメール送信を防止する。
• デバイスの紛失：仕事用デバイスの管理を徹底させるよう教育を実施する。このことは、社外で業務を行う従業員には特に重要となる。
• パスワードの共有：パスワードを共有したり、他人の目に触れる場所にログイン情報のメモを置いたりしないよう、従業員の注意を喚起する。

フィッシング詐欺も、従業員が誤って重要なデータを悪意ある相手と共有する主原因の1つです。フィッシング詐欺のメールは、信頼できる組織からのメールを装い、添付ファイルを開く、リンクをクリックするといった行為を誘導します。誤字脱字、不審な挨拶文、予期せぬ内容など、フィッシング詐欺の警告サインについての教育を実施することをおすすめします。

従業員が意図せずセキュリティ問題を引き起こす可能性があることに対し、理解を示すことが必要です。ポジティブな職場環境を築くことで、詐欺の疑いのあるメールを受信した従業員が、秘密情報を送信してしまう前に所定部門に連絡する可能性が高まります。

従業員の勤務場所も考慮しなければなりません。オフィス内で勤務する従業員の行動は比較的容易に監視できます。一方、リモートワークの従業員には別途教育が必要です。オフィス外でのデータの安全を確保するため、リモートワークの従業員には、セキュアなネットワーク接続のあるプライベートな環境で業務にあたることを徹底させます。

強力なパスワードを設定する

強力なパスワードは、セキュリティのリスクを最小限に抑えるのに効果的です。パスワードが強力であればあるほど、ハッカーに解読される可能性が低くなります。

全従業員に、指定された要件を満たすパスワードの設定・使用を義務付けることが重要です。最新の NIST のガイドラインでは、パスワードは複雑さよりも長さを重視すること、文字・数字・記号の短い組み合わせではなく、複数の異なる単語を含む長いパスフレーズを使用することが推奨されています。

セキュリティ向上のため、パスワードの定期的な変更を従業員に徹底させることも重要です。

多要素認証を導入する

二要素認証または多要素認証を用いることで、強力なパスワードをさらに強化できます。多要素認証では、従来のユーザー名とパスワードに加えて、1つ以上の別のユーザー認証が要求されます。コンテンツにアクセスするには、この追加認証の情報を入力する必要があります。

多要素認証には、以下のものを含むさまざまな種類があります。

• テキスト認証：ユーザーは、ログイン時にワンタイムコードが記載されたテキストを受信する。そのコードを入力してセッションを続行する。
• モバイルアプリ認証：ユーザーは、ログイン時にモバイルアプリを通じて本人確認を行う。
• 秘密の質問：ユーザーは、本人だけが正解を知りうる秘密の質問に答える。

ファイルへのアクセス権を制限する

予防可能なデータ漏えいをできる限り防ぐための最も簡単な方法の1つは、従業員による秘密ファイルへのアクセスを制限することです。それぞれのファイルのアクセス権を、そのファイルを必要とする従業員に限定して付与し、不必要な従業員にはアクセス権を付与しないようにします。

アクセス制御は、次のような方法で行われます。

• コンテンツの分類・制御：リンクを知っている人全員がアクセスできるよう、あるいは、招待された人だけがファイルを閲覧・編集できるよう、コンテンツ制御を設定する。
• 共有リンクの期限設定：コンテンツにアクセスできる期間を制限したい場合は、アクセス権に有効期限を設定する。
• アクセスリストの更新：従業員の入退社にあわせてアクセスリストを更新し、退職後にはファイルへのアクセス権が無効化すること、新たな入職者には適切なアクセス権が付与されることを確実にする。

許可された従業員だけが重要なファイルにアクセス可能にすることで、情報の閲覧・読み取り・送信・編集を行った人物の追跡が容易になります。ファイルやフォルダにアクセスできる人物を戦略的に決定することは、コンテンツのセキュリティ確保につながります。

3. 常に最新の状態を維持する

情報セキュリティ業界や自社のビジネスの変化にあわせて、セキュリティ対策も進化させる必要があります。

システムを常に最新の状態に保つための対策をご紹介します。

重複データ、古いデータを廃棄する

秘密データの保護は、不要になったデータを安全に廃棄することでもあります。業務上は不要となったファイルでも、ファイルに含まれる個人情報や企業データは保護しなければなりません。

全コンテンツを保管することは、過去の記録を確実に残すための良い方法のように思えるかもしれません。しかし、保管したファイルの存在を忘れてしまうことはよくあります。監視されなくなった情報は、最新のセキュリティ対策の対象外となり、侵害や攻撃を受けやすくなります。従業員が許可なくこれらのファイルに容易にアクセスし、自分自身に転送するといった事態も発生しやすくなります。

さらに、同一の秘密データを複数のファイルに保存すると、窃盗や悪用のリスクが高まります。重複するデータは不要なデータであることが多く、1つに統合して不要なものを削除することで、情報セキュリティにつながります。

セキュリティリスクの要因にならないよう、重複データや古いデータを定期的にチェックし、削除することが必要です。全従業員が従うべき情報廃棄の仕組みを作るとよいでしょう。不要な資料・データをシュレッダー処理、削除、あるいは、変更して最新のデータとすることで、必要なデータを保護できます。

定期的なアップデートを実施する

ソフトウェアのアップデートは、いろいろな意味で重要です。アップデートによってデバイスやプログラムが高速化し、作業効率が向上します。また、重要なセキュリティ機能の改善がアップデートによって提供されるケースも多くあります。

業務で使用するソフトウェアを定期的にアップデートすることで、最新・最善のセキュリティ機能を備えたプログラムを実行できるようになります。

ハッカーは、以前のバージョンのソフトウェアの弱点、すなわち、既知の脆弱性をターゲットに、攻撃の手法を改善し続けています。クラウドストレージのソフトウェアのようなプログラムを古いバージョンのまま使用し続けることは、脆弱性を解決するためのセキュリティ・アップデートを利用できていないことを意味します。

定期的にデータをバックアップする

データのバックアップは、少なくともソフトウェアのアップデートと同じくらいの頻度で行う必要があります。バックアップファイルを作成しておくことで、セキュリティインシデントが発生した場合にデータの復元が可能になります。

バックアップデータは、侵害を受けた場合のデータ損失を抑制します。また、悪意のある行為者によってコンテンツが改ざんされた場合でも、完全なコンテンツの復元を可能にします。データのバックアップは、日常的な業務の遂行においても有用です。フォームへの入力やコンテンツの編集の際にミスがあったときなども、バックアップが役に立ちます。

データをバックアップする一般的な方法には、次のようなものがあります。

• インターネットベースのストレージ：自社のサーバーではなく、クラウド上に全バージョンのデータを自動的に保存することで、ファイルの完全な復元が容易になる。
• USBドライブ：USBドライブ（USBメモリとも呼ばれる）は、小型の携帯機器に大容量のデータを保存できるため、物理的なバックアップ機器が必要な場合に利用される。
• ネットワーク接続型ストレージ：ネットワーク接続型ストレージ（NAS）は、物理的なハードディスクドライブへの自動バックアップを行う場合に利用される。

どのバックアップ戦略を選択するかは、企業によってさまざまです。しかし、セキュリティの面で最も信頼できるのは、インターネットベースのストレージです。バックアップ用のストレージにも、プライマリファイルストレージと同等のセキュリティレベルが必要です。

サイバーセキュリティの最新情報を常に把握する

新たなフィッシング詐欺やマルウェアなどの脅威が日々発生しています。情報セキュリティに関するニュースに日ごろから注意を払うことも、ハッキングの世界の新たな脅威に対する備えにつながります。データ侵害の実例から学ぶことで、自社が同様の問題を回避するための気づきが得られます。

新たな脅威や脆弱性が発生した場合には、組織全体に警告を発することが重要です。組織全体が潜在的な問題を認識することで、問題を回避できる可能性が高まります。

4. 情報セキュリティへの投資を増やす

ITインフラの強度と有効性は、企業が情報セキュリティにどれくらいコミットしているかにかかっています。セキュリティを常に進化させるための最善の方法は、セキュリティ対策に十分な時間とコストを投じることです。

多層的なセキュリティ対策を実施し、保護の最大化をめざします。情報セキュリティ対策を常に万全にするには、全従業員の協力が欠かせません。全ての業務に必要不可欠な要素として、情報セキュリティを組み込むべきです。

情報セキュリティ対策を経営課題として取り組むには、以下の事柄の実践が必要です。

セキュリティ担当者を任命し、権限と責任を与える

セキュリティチームを編成するか、あるいは、セキュリティ最高責任者を任命または採用し、現行のプロセスの監視、ソフトウェアやデータ保護の最新のトレンドについての全社的な情報共有などの任務を任せるとよいでしょう。専門知識と経験が豊富な人材を得ることは、最適なセキュリティレベルの維持につながります。

任命または採用した情報セキュリティ担当者の提案は、真摯に受けとめることが重要です。彼らの専門知識を尊重し、提案を受け入れることで、データ保護の負荷から解放され、企業の成長に関わる業務に注力できます。

セキュリティ検証を実施する

新しく改善されたセキュリティ対策を導入しても、それが自社にとって最良の選択肢だったかどうか、確信が持てない場合があります。情報セキュリティのシステムやポリシーが要件を満たしているか否かを知る最も有効な手段は検証です。

専門家によるセキュリティ診断を通じて、オペレーションにおける隠れた脆弱性を明らかにすることで、今後の改善プランの策定に役立ちます。外部のサイバーセキュリティサービスに診断を依頼することができます。専門のサードパーティによる診断で、社内の定型的な点検では発見できなかった脆弱性が発見できる可能性があります。

専門家は、全てのセキュリティ資産を評価して脆弱性を抽出します。また、現行のシステムが意図したとおりに機能しているか否かの検証も行います。

セキュリティ診断で重要なのはリスクアセスメントです。リスクアセスメントでは、潜在的な危険性を見つけ出して評価し、その脅威がどのように進展するかを考察します。そのうえで、特定のリスクへの対応策や、リスクの発生確率を低減する方法が提示されます。

セキュリティシステムを定期的に検証し、全ての保護対策を最新の状態に保つことが重要です。セキュリティ検証は、州や国の基準へのコンプライアンスを維持するために必要な場合があります。

ポリシーと手順を見直す

情報セキュリティの分野は常に進化しています。セキュリティポリシーと手順の継続的な見直しにより、新たな脅威、変化する脅威から企業を守ることができます。

情報セキュリティ手順の実施においては、データを保護するための取り組みを示すポリシーを策定し、そのポリシーを遵守し、常に進化させることが重要です。セキュリティポリシーは、以下の要件を満たすよう策定します。

• 情報セキュリティに対する組織的な取り組みを定義
• 実施予定のセキュリティ対策を明記
• 脆弱性のある、または、侵害されたデータ資産の検知
• 発見されたリスクの抑制
• セキュリティレピュテーションの保護
• 適用される法的基準へのコンプライアンス 
• 従業員および顧客の秘密・個人データの保護 
• 従業員や顧客がセキュリティ脅威について連絡する手段の確立
• 秘密ファイルへのユーザーアクセスの制限

実用的で強制力があり、柔軟性の高いセキュリティポリシーを策定します。自社も変化し、セキュリティ業界も変化します。それらの変化に臨機応変に対応し、保護対策の維持と改善を継続することが重要です。

計画を立てる

最善のセキュリティ対策を講じていても、データ侵害のリスクは存在します。脅威から組織を守るためには、事前に計画を立てて、セキュリティが脅かされた場合の対処法を取り決めておくことが大切です。計画を立てることで、ダウンタイムを最小限に抑えて速やかに問題に対処できるため、最低限の中断で業務を再開できます。

貴社のセキュリティチームに、現行のシステムに起こり得るあらゆるタイプの脅威に対する具体的な計画を策定するよう要請することをおすすめします。それぞれの問題に対する計画を立てることで、一般的な手法よりも効果の高い防御が可能になります。

コンテンツクラウドがお役に立ちます

Boxのコンテンツクラウドを利用することで、あらゆるコンテンツを単一のセキュアなプラットフォームで管理できます。ファイルの作成、共同編集、共有、電子サイン、分類、保管など、コンテンツのライフサイクル全体の管理が可能です。また、社内外を問わず、誰とでも容易にコンテンツを共同制作できます。フリクションレスな（摩擦のない）、エンタープライズグレードのセキュリティとコンプライアンスは、Boxの根幹をなす概念です。お客さまのコンテンツは確実に保護されます。Boxは、1,500以上のアプリとのシームレスな統合に加えて、Box Signをはじめとするネイティブな機能を豊富に備えています。Boxのコンテンツクラウドは、各ユーザーが最適な環境で業務を遂行できるよう、単一のコンテンツレイヤーを提供します。

コンテンツクラウドは、お客さまの組織全体のゲームチェンジャーとなり、ワークフローを合理化し、全ての部門の生産性を向上させます。Boxの導入に関するご相談・お問い合わせを承っております。こちらのページからお気軽にご連絡ください。

**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、このブログ記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。