企画広告

コンプライアンスやプライバシーにもセキュリティ同様の取り組みが不可欠に

ZDNET Japan Ad Special

2021-02-16 15:00

 標的型攻撃にランサムウェア、フィッシング詐欺、ビジネス詐欺メール(BEC)……この5年間で企業を取り巻く脅威は多様化し、また巧妙化した。ただこれに伴い、企業側のセキュリティ対策も進んでいるのも事実だ。

 注目したいのは、技術的な面だけでなく、サイバーセキュリティに対する考え方も変化したことだ。どれほど対策を講じても、脅威が侵害してくる可能性はゼロにはできない。その事実に基づき、脅威の侵入防止に努めるだけでなく、NISTの「サイバーセキュリティフレームワーク」をベースに、防御の網から漏れてきた脅威を素早く検知し、対応し、復旧するという一連のプロセスを整えてはじめて、近代的な脅威に対抗できるーーそうしたアプローチを取る企業が増えてきた。マイクロソフトではMicrosoft 365を通して、そんな企業を支援している。

 「Microsoft 365 E5 Compliance, Information Protection & Governanceで実現するデータの識別・保護・統制」のセッションでは、マイクロソフトの一瀬幹泰氏が、今後、サイバーセキュリティだけでなくコンプライアンスやプライバシーについても、同じような観点で取り組む必要があると呼びかけた。

 残念ながら、内部不正や不注意に起因する問題やトラブルはゼロではない。しかも業務を取り巻く環境は、かつてのように均質化された環境や従業員を中心にしたハイコンテキストな環境とは異なる。リモートワークが広がり必ずしも互いの目が届くとは限らないし、多様な従業員が集まるローコンテキストな状況の中で対策をしていかなければならない。

 そうした際に参考になるのが、プライバシーに関してNISTが定めたフレームワークだ。サイバーセキュリティフレームワークと同様にリスクや守るべき資産を特定し、それに向けて教育・ポリシー策定といった統治活動を行う必要があると規定している。

技術の進化が支援するコンプライアンス、ガバナンスの実践

 プライバシーフレームワークも踏まえ、この5年間におけるサイバーセキュリティ領域における取り組みと同じような取り組みを、コンプライアンスやプライバシーの領域においても進めていかなければならないーーその大枠は分かったとしても、具体的には何をどうすればいいのだろうか。

 難しいのは、コンプライアンス問題は、サイバーセキュリティのように明確な攻撃があるわけではないことだ。単純に防御できる性質のものではないため、防御の前に状況を整理して把握する必要があるし、社内外の関係者に通知するプロセスも整えなければならない。

 またたとえガバナンスに関する社員教育を実施し、内部・外部監査体制を整え、ポリシーを策定しても、それだけではガバナンスを効かせることはなかなか難しいだろう。

 だが一つ、明るい材料がある。技術の進化だ。

 たとえばプライバシー上の問題やハラスメント、社内不正につながる恐れのあるコミュニケーションを検知し、アラートを上げる技術が生まれてきた。これらを活用することで、業務プロセスをしっかり監視し、不正やコンプライアンス違反につながる行動がないかを見つけ、しかるべく社内外に通知しながら企業としての責任を果たすことができる。

 それを実現するのが、Microsoft 365 E5 Complianceに含まれる「Information Protection & Governance」だ。NISTのプライバシーフレームワークの考え方に基づき、「守るべきデータは何か」を識別した上で、それらに対して適切な保護手段を自動的に適用し、「守らなければいけないデータ」「法的に必要なデータ」についてガバナンスを効かせていく。

 セッションでは具体的なテクノロジとして、いわゆるOfficeスイートに含まれるWordやExcel、Powerpointといったアプリケーション自体に、情報を分類し、それぞれに保護を適用できる機能が備わっていることが紹介されている。さらに「Cloud App Security」を組み合わせれば、Microsoft 365のアプリケーションのみならず、BoxやG Suiteといったサードパーティのクラウドサービスも含めて、情報の棚卸しや分類、きめ細かな保護を実施し、機密情報の制御ができることが紹介された。さらに、内部不正やハラスメントにつながるキーワードが含まれたコミュニケーションがないかモニタリングし、予兆の段階で適切に管理することで、問題が深刻化するまえに未然に防ぐことができる。

何でもかんでも機密扱いしすぎる? 日本企業の悪癖を脱するには

 セッションではプライバシーやガバナンスの実現に向けたヒントが多々紹介されている。ここではその中から1つだけ紹介しよう。それは「日本企業は、データの識別が得意ではない」という率直な指摘だ。あれもこれも機密扱いし、本来ならばそこまで厳密に保護しなくてもいいはずのデータまで、何でもかんでも暗号化する傾向がある。

 一瀬氏は「これはそれほど効果的な対策とはならないし、生産性にも影響を与える」と述べ、マイクロソフトにおける情報分類の実例を紹介している。その上で、守るべきデータ、営業秘密などはしっかり守り「メリハリの利いた対策をする」ことで、リスクを低減し、費用対効果を削減できるとした。

 コンプライアンス問題は、いざ問題が顕在化してから対処に取り組むと費用がかさむ。サイバーセキュリティ同様、なるべく早い段階で問題に気づき、対処していく体制を作っていくことが重要だ。さもなければいざ問題が起きたとき、会社としての責任が問われ、多額の制裁金を課されたり、株価に影響が生じるなど業務への影響も計り知れない。そうした事態を避けるためのヒントをぜひ探してみてほしい。

詳細はこちら

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  3. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  4. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  5. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]