【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
エンタープライズ・データを守れ
担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために
(2007年10月02日)
ツールをうまく活用する
データ・セキュリティを実現するうえで、越えるべきハードルの数は確かに多い。だが、企業ユーザーは着実に前進し、データ・セキュリティの強化に役立つツールやプロセスを発見しつつある。
不動産ファイナンス・サービス・プロバイダー、ファースト・アメリカンのソフトウェア開発担当副社長、ガス・テッパー氏は、たとえ一夜でセキュリティの悩みをすべて解決することは不可能であるにしても、漸進的に改善することはできるし、そうすべきだと指摘する。
そのための最初のステップは、個々の従業員が仕事を遂行するうえでどのようなデータにアクセスする必要があるかを特定し、人事異動があるたびに、インテリジェントなツールを用いて自動的にアクセス資格の付与/取り消しを行うことである。こうした方法は、定期的に大規模な人事異動が行われる従業員4万人の大企業、ファースト・アメリカンでも有効であることが証明されている。
「(ツールを使ってアクセス制御を自動化することによって)アクセスという面で、データの安全性を十分に確保することができると考えている。問題の多くは、ヒューマン・プロセスを巡って発生するからだ。アクセスを制御することで、脅威への対応を自動化し、脅威を最小化することは、どんな企業にとっても重要だ」(テッパー氏)
ファースト・アメリカンでは、従業員のラップトップが紛失したり、盗難にあったりした場合でも、だれかが勝手にデータにアクセスしたりすることのないよう、マシンに暗号技術をインストールしている。
また、オフサイト・ロケーションでも、テープ・ドライブが盗まれた場合に備えて同様のツールを採用しているほか、セキュアレントが開発した、データ・ガバナンスを支援するための資格管理ソフトウェアも導入している。
同社におけるアクセス制御の状況を、テッパー氏は「われわれのように数百ものアプリケーションを利用し、部門をまたいだ人事異動を普通に行っている大企業の場合、定期的に(アクセス権の)クリーニング・アップをする必要がある。
そしてそんな環境では、一元的に管理できるツールがなければ、アクセス権をトラッキングすることは不可能なのだ」と説明し、こう続ける。「社外からのアクセスが可能であるかぎり、常に不用意な情報流出に備えておく必要がある。われわれは、そのためにセキュリティ技術を積極的に導入している。セキュリティ技術を導入し、社内のアクセス権を制御するためのプロセスを整備したことによって、状況は大きく改善された」
同社はまた、2006年に初めてCISO(最高情報セキュリティ責任者)を雇い入れ、データ保護を経営戦略の一環と位置づけた。
大企業の多くは、データ保護戦略を再構築するにあたって、ゼロからスタートしたいと考えるものだ。だが、たとえそれが可能であったとしても、ゼロから万全な情報保護体制をつくりあげるというのは容易なことではない。
カリフォルニア州サンノゼに本部を置く小売チェーン、オーチャード・サプライ・ハードウェア(OSH)は、今から5年以内にチェーン店を全米展開する予定であり、CIOのマーティ・ホゲット氏は、その日に備えて本格的なITシステムの構築に取り組んでいるところだ。
OSHが業務にワークステーションや新しいデータ収集システムを組み込んだことについては、ホゲット氏は「遅れて来た近代化だ」と笑うが、それでも機密情報をガードしながら、顧客、従業員、供給業者に関するデータの高度利用を可能にした点については、自ら合格点をつける。
現在、OSH株のおよそ80パーセントは小売り大手のシアーズが所有しているが、OSHはシアーズからのスピンオフを目指している。そして、そのためにも、ITの近代化とともにデータ・セキュリティの確保が必要になるのだとホゲット氏は言う。
「われわれはこれまで、多くの分野でシアーズに依存してきた。しかし、今後は、財務、支払い、人事システム、その他の点で自主性を発揮しつつ、全米に向けてビジネスを展開していくことになる。現在は、その方向で、いかにリスクを軽減できるかを検討している最中だ。そんな状況の中で、すべてをゼロからスタートするわけにはいかない。あらゆることを一気に推し進めようとすれば、破綻することが目に見えているからだ。IT基盤の構築に関して言えば、さまざまな局面で、データ・セキュリティをいかに確保するかがカギになろう」(同氏)
ちなみに、こうした方針の下にホゲット氏が導入したツールの1つに、プロビラが開発したデータ漏洩防止ソフトウェアがある。この製品は、従業員および顧客の機密データを、意図的または偶発的な侵害から保護するためのものだ。
「技術カーブが上昇し、処理能力が向上していくにつれて、われわれはリスクを最小化するために、さらに進んだテクニックを検討していくことになる。現在はローテクであるため、リスクも小さい。しかし、もっと高いレベルを求め、例えば自社ブランドのクレジットカードを発行するといった新しいビジネス展開を図ることになれば、さらに高度な安全性を確保し、同時にコンプライアンスの問題に取り組む必要も出てくるわけだ」(ホゲット氏)
