エンタープライズ・データを守れ

担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために

（2007年10月02日）

エンタープライズ・データの保護はきわめて重大な課題であり、米国企業もここにきてこの問題に本腰を入れて取り組み始めた。本稿では、社内に潜む脆弱性をあぶり出し、エンタープライズ・データを保護する方法を、米国のユーザー／ベンダーから学びたい。

マット・ハインズ
InfoWorld 米国版

　その昔、機密情報の安全は、ファイル・キャビネットに入れてカギさえかけておけば守れた。価値のあるデータを保管し、アクセスを制御するのは、比較的簡単なことであり、大してコストもかからなかった。ところが今日、企業はセキュリティやストレージ、コンプライアンスの技術──重要な電子情報の視認性を高め、外部からの不正アクセスを阻止するための技術──に、莫大な投資を行わなければならなくなった。

　もっとも、そういった技術を導入する必要性こそ認識されているものの、価値のある機密データの詳細なトラッキングや、不正アクセス／不正利用を防止するためのアプリケーションの導入といった本格的な取り組みとなると、ほとんどの企業がまだ始めたばかりの段階である。

死角をなくす

　法律の専門家が、企業の要請を受けて、外部からの不正侵入や内部の人間による不法行為について調査を行ったところでは、ブランドの信頼を揺るがしたり、行政処分を招いたりした事件の多くが、機密データの取り扱いに関する企業側の認識不足を原因にしていたということが判明している。

　企業は機密情報を安全に管理することのできる体制を整えつつあるが、専門家によると、それでもまだ重要なデータを保管する方法やデータを電子的に転送するプロセスには、多くの死角が残されているという。例えば、情報漏洩や外部からの攻撃に対する脆弱性などが、そうした死角として挙げられる。

　「われわれが調査したケースのほとんどで、企業はシリアスなデータ侵害を経験していた。しかも、貴重な情報が盗まれたことが判明するのは、大抵の場合、犯行後かなりの時間がたってからだ。そのときには、もうすべてが手遅れになっている」と語るのは、リスク・アセスメントを行うセキュリティ・サービス・プロバイダー、サイバートラストの調査対応担当副社長、ブライアン・サーティン氏だ。

　サイバートラストでは、「契約している企業でデータ侵害が発生した場合、さまざまな問題について討論し、最終的に機密データをどのように保管するかを提案する」（サーティン氏）といった業務を行っているが、「多くの企業で、事件が発覚するまで、最小限のデータ保護対策しか講じられていなかったことは事実だ。

　しかしながら、たとえ企業がどれほどしっかりした技術とプロセスを導入していたとしても、多くの重要なデータが日々流出しているという現実は止めようがない」と、サーティン氏はデータ保護の困難さを訴える。

　専門家の仕事をさらに難しくしているのが、痕跡を残さないハッカーの巧妙な手口だ。ここにきて、データを盗むスキームが高度化し、犯行の追跡がいっそう困難になっているのである。

　そんな状況を踏まえて、多くのセキュリティ専門家たちが　企業は価値のある情報を保護するための負担に押しつぶされそうになっていると指摘する。その１人である、セキュリティ・サービス・プロバイダー、マンディアントのチーフ・エグゼクティブ、ケビン・マンディア氏は、「どんなに優れた企業であっても、この分野で十分信頼に足る体制を整備できるとは限らない。考えうるあらゆる脅威からデータをガードし、事業を進めていくための、情報管理／保管方法が見つからないからだ」と指摘し、こう嘆いてみせる。

　「さらに悪いことに、多くの企業では、データ保護に関連する法規制に対して最小限の対応しか行っていない。問題が公になったときの“アリバイづくり”程度の対策しか講じていないのだ」

｜1｜2｜3｜4｜ > 次のページへ