標的型攻撃にランサムウェア、フィッシング詐欺、ビジネス詐欺メール(BEC)……この5年間で企業を取り巻く脅威は多様化し、また巧妙化した。ただこれに伴い、企業側のセキュリティ対策も進んでいるのも事実だ。
注目したいのは、技術的な面だけでなく、サイバーセキュリティに対する考え方も変化したことだ。どれほど対策を講じても、脅威が侵害してくる可能性はゼロにはできない。その事実に基づき、脅威の侵入防止に努めるだけでなく、NISTの「サイバーセキュリティフレームワーク」をベースに、防御の網から漏れてきた脅威を素早く検知し、対応し、復旧するという一連のプロセスを整えてはじめて、近代的な脅威に対抗できるーーそうしたアプローチを取る企業が増えてきた。マイクロソフトではMicrosoft 365を通して、そんな企業を支援している。
「Microsoft 365 E5 Compliance, Information Protection & Governanceで実現するデータの識別・保護・統制」のセッションでは、マイクロソフトの一瀬幹泰氏が、今後、サイバーセキュリティだけでなくコンプライアンスやプライバシーについても、同じような観点で取り組む必要があると呼びかけた。
残念ながら、内部不正や不注意に起因する問題やトラブルはゼロではない。しかも業務を取り巻く環境は、かつてのように均質化された環境や従業員を中心にしたハイコンテキストな環境とは異なる。リモートワークが広がり必ずしも互いの目が届くとは限らないし、多様な従業員が集まるローコンテキストな状況の中で対策をしていかなければならない。
そうした際に参考になるのが、プライバシーに関してNISTが定めたフレームワークだ。サイバーセキュリティフレームワークと同様にリスクや守るべき資産を特定し、それに向けて教育・ポリシー策定といった統治活動を行う必要があると規定している。
技術の進化が支援するコンプライアンス、ガバナンスの実践
プライバシーフレームワークも踏まえ、この5年間におけるサイバーセキュリティ領域における取り組みと同じような取り組みを、コンプライアンスやプライバシーの領域においても進めていかなければならないーーその大枠は分かったとしても、具体的には何をどうすればいいのだろうか。
難しいのは、コンプライアンス問題は、サイバーセキュリティのように明確な攻撃があるわけではないことだ。単純に防御できる性質のものではないため、防御の前に状況を整理して把握する必要があるし、社内外の関係者に通知するプロセスも整えなければならない。
またたとえガバナンスに関する社員教育を実施し、内部・外部監査体制を整え、ポリシーを策定しても、それだけではガバナンスを効かせることはなかなか難しいだろう。
だが一つ、明るい材料がある。技術の進化だ。
たとえばプライバシー上の問題やハラスメント、社内不正につながる恐れのあるコミュニケーションを検知し、アラートを上げる技術が生まれてきた。これらを活用することで、業務プロセスをしっかり監視し、不正やコンプライアンス違反につながる行動がないかを見つけ、しかるべく社内外に通知しながら企業としての責任を果たすことができる。
それを実現するのが、Microsoft 365 E5 Complianceに含まれる「Information Protection & Governance」だ。NISTのプライバシーフレームワークの考え方に基づき、「守るべきデータは何か」を識別した上で、それらに対して適切な保護手段を自動的に適用し、「守らなければいけないデータ」「法的に必要なデータ」についてガバナンスを効かせていく。
セッションでは具体的なテクノロジとして、いわゆるOfficeスイートに含まれるWordやExcel、Powerpointといったアプリケーション自体に、情報を分類し、それぞれに保護を適用できる機能が備わっていることが紹介されている。さらに「Cloud App Security」を組み合わせれば、Microsoft 365のアプリケーションのみならず、BoxやG Suiteといったサードパーティのクラウドサービスも含めて、情報の棚卸しや分類、きめ細かな保護を実施し、機密情報の制御ができることが紹介された。さらに、内部不正やハラスメントにつながるキーワードが含まれたコミュニケーションがないかモニタリングし、予兆の段階で適切に管理することで、問題が深刻化するまえに未然に防ぐことができる。
何でもかんでも機密扱いしすぎる? 日本企業の悪癖を脱するには
セッションではプライバシーやガバナンスの実現に向けたヒントが多々紹介されている。ここではその中から1つだけ紹介しよう。それは「日本企業は、データの識別が得意ではない」という率直な指摘だ。あれもこれも機密扱いし、本来ならばそこまで厳密に保護しなくてもいいはずのデータまで、何でもかんでも暗号化する傾向がある。
一瀬氏は「これはそれほど効果的な対策とはならないし、生産性にも影響を与える」と述べ、マイクロソフトにおける情報分類の実例を紹介している。その上で、守るべきデータ、営業秘密などはしっかり守り「メリハリの利いた対策をする」ことで、リスクを低減し、費用対効果を削減できるとした。
コンプライアンス問題は、いざ問題が顕在化してから対処に取り組むと費用がかさむ。サイバーセキュリティ同様、なるべく早い段階で問題に気づき、対処していく体制を作っていくことが重要だ。さもなければいざ問題が起きたとき、会社としての責任が問われ、多額の制裁金を課されたり、株価に影響が生じるなど業務への影響も計り知れない。そうした事態を避けるためのヒントをぜひ探してみてほしい。
詳細はこちら