エンタープライズ・データを守れ―― 担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために

 エンタープライズ・データの保護はきわめて重大な課題であり、米国企業もここにきてこの問題に本腰を入れて取り組み始めた。本稿では、社内に潜む脆弱性をあぶり出し、エンタープライズ・データを保護する方法を、米国のユーザー/ベンダーから学びたい。
マット・ハインズ
InfoWorld 米国版

 その昔、機密情報の安全は、ファイル・キャビネットに入れてカギさえかけておけば守れた。価値のあるデータを保管し、アクセスを制御するのは、比較的簡単なことであり、大してコストもかからなかった。ところが今日、企業はセキュリティやストレージ、コンプライアンスの技術──重要な電子情報の視認性を高め、外部からの不正アクセスを阻止するための技術──に、莫大な投資を行わなければならなくなった。

 もっとも、そういった技術を導入する必要性こそ認識されているものの、価値のある機密データの詳細なトラッキングや、不正アクセス/不正利用を防止するためのアプリケーションの導入といった本格的な取り組みとなると、ほとんどの企業がまだ始めたばかりの段階である。

死角をなくす

 法律の専門家が、企業の要請を受けて、外部からの不正侵入や内部の人間による不法行為について調査を行ったところでは、ブランドの信頼を揺るがしたり、行政処分を招いたりした事件の多くが、機密データの取り扱いに関する企業側の認識不足を原因にしていたということが判明している。

 企業は機密情報を安全に管理することのできる体制を整えつつあるが、専門家によると、それでもまだ重要なデータを保管する方法やデータを電子的に転送するプロセスには、多くの死角が残されているという。例えば、情報漏洩や外部からの攻撃に対する脆弱性などが、そうした死角として挙げられる。

 「われわれが調査したケースのほとんどで、企業はシリアスなデータ侵害を経験していた。しかも、貴重な情報が盗まれたことが判明するのは、大抵の場合、犯行後かなりの時間がたってからだ。そのときには、もうすべてが手遅れになっている」と語るのは、リスク・アセスメントを行うセキュリティ・サービス・プロバイダー、サイバートラストの調査対応担当副社長、ブライアン・サーティン氏だ。

 サイバートラストでは、「契約している企業でデータ侵害が発生した場合、さまざまな問題について討論し、最終的に機密データをどのように保管するかを提案する」(サーティン氏)といった業務を行っているが、「多くの企業で、事件が発覚するまで、最小限のデータ保護対策しか講じられていなかったことは事実だ。

 しかしながら、たとえ企業がどれほどしっかりした技術とプロセスを導入していたとしても、多くの重要なデータが日々流出しているという現実は止めようがない」と、サーティン氏はデータ保護の困難さを訴える。

 専門家の仕事をさらに難しくしているのが、痕跡を残さないハッカーの巧妙な手口だ。ここにきて、データを盗むスキームが高度化し、犯行の追跡がいっそう困難になっているのである。

 そんな状況を踏まえて、多くのセキュリティ専門家たちが 企業は価値のある情報を保護するための負担に押しつぶされそうになっていると指摘する。その1人である、セキュリティ・サービス・プロバイダー、マンディアントのチーフ・エグゼクティブ、ケビン・マンディア氏は、「どんなに優れた企業であっても、この分野で十分信頼に足る体制を整備できるとは限らない。考えうるあらゆる脅威からデータをガードし、事業を進めていくための、情報管理/保管方法が見つからないからだ」と指摘し、こう嘆いてみせる。

 「さらに悪いことに、多くの企業では、データ保護に関連する法規制に対して最小限の対応しか行っていない。問題が公になったときの“アリバイづくり”程度の対策しか講じていないのだ」

自己診断の危険性

 エンタープライズ・ストラテジー・グループ(ESG)は先ごろ、大企業への聞き取り方式で、「エンタープライズ・セキュリティに関する調査」を実施した。7月下旬に公表された調査結果によると、調査に協力した大企業102社のうち3分の1が、過去1年以内に機密データの漏洩があったことを認めている。

 また、回答者の58パーセントが、機密情報に対する最大の脅威はインサイダーによる悪意または不注意に起因する情報漏洩であるとして、外部の攻撃からネットワークを守るだけにとどまらない包括的なセキュリティ・プロセスの必要性を訴えている。

 ESGのアナリストで、上の調査リポートを作成したジョン・オルトシク氏は、「機密データや知的財産の確認、保護、分類に関する問題を、人々が認識し、それなりの努力と予算を投じようとする意思を持ち始めたことは、グッド・ニュースだ。

 しかしながら、その一方で、情報漏洩を防ぐ手段が、いまだにマニュアル・プロセスに依存しているのも事実だ」と指摘する(なお、調査はデータ保護技術ベンダー、レコネックスをスポンサーとして行われた)。

 続いて同氏は、「多くの企業が、十分な対策をとっているとの自信を抱いているようだ。だが、データ侵害の痕跡やセキュリティ・プロセスの欠陥が次々に明らかになっていることからすれば、そうした自信のほとんどは幻想にすぎない」と切って捨て、こう分析してみせる。

 「実際に、どのようなタイプのデータが従業員のデスクトップやファイル・サーバに保管されているかを見せてやれば、多くの企業は問題の大きさに驚愕するはずだ。そうした問題を抱えている企業に共通しているのは、部門間の協調性が欠如しているということだ。セキュリティは、IT部門だけの問題でもなければ、法務部門、あるいは事業部門だけの問題でもない。人々が全社的な問題だと認識しないかぎり、状況が改善することはないだろう」

 現在、こうした問題の解決に携わっているITコンサルタントたちは、「超優良企業と呼ばれる会社でさえ、データ・セキュリティ問題の全体像を把握するのに四苦八苦している」と証言する。

 大企業が管理する情報は、近年、爆発的な勢いで増加しつつあり、SOX法(米国企業改革法)やHIPAA(医療保険の相互運用性と説明責任に関する法律)などの成立が、その傾向にさらに拍車をかけている。そしてそれに伴い、企業には、この問題を真正面から見据えて、オペレーションに真の視認性を確立する必要性が出てきた。

 ITコンサルティング会社、ジェトロニクスで上級情報リスク・ストラテジストを務めるスティーブ・スーザー氏は、この状況に、「企業の多くは、いざとなれば高度なセキュリティ技術を適用すれば済むと強気だが、オペレーションの視認性を高めるツールの購入予算さえ十分に用意していないのに、果たしてそんな芸当が可能なのだろうか」と、警鐘を鳴らす。

 スーザー氏は、ジェトロニクスに入社する前はクレジットカード大手のアメリカン・エクスプレス(アメックス)で情報セキュリティ管理ディレクターを務めていた。当時の同氏にとって、データ・セキュリティは「巨大な問題」だったという。アメックスの情報や記録にアクセスしてくる数百万社の加盟店と円滑にビジネスを展開しつつ、顧客ならびに社内の情報を保護しなければならなかったからだ。

 確かに、ビジネス・パートナーを監視するのは非常に難しい。「情報リスク管理プログラムを強制するのが最も困難な領域の1つは、間違いなくサード・パーティだ。たとえ企業が社内で効果的なビジネス・プロセスを立案し、その管理体制を構築することができたとしても、重要なデータに接触することが可能なサード・パーティのプロセスまで詳細にチェックすることはできない」(スーザー氏)からである。

ツールをうまく活用する

 データ・セキュリティを実現するうえで、越えるべきハードルの数は確かに多い。だが、企業ユーザーは着実に前進し、データ・セキュリティの強化に役立つツールやプロセスを発見しつつある。

 不動産ファイナンス・サービス・プロバイダー、ファースト・アメリカンのソフトウェア開発担当副社長、ガス・テッパー氏は、たとえ一夜でセキュリティの悩みをすべて解決することは不可能であるにしても、漸進的に改善することはできるし、そうすべきだと指摘する。

 そのための最初のステップは、個々の従業員が仕事を遂行するうえでどのようなデータにアクセスする必要があるかを特定し、人事異動があるたびに、インテリジェントなツールを用いて自動的にアクセス資格の付与/取り消しを行うことである。こうした方法は、定期的に大規模な人事異動が行われる従業員4万人の大企業、ファースト・アメリカンでも有効であることが証明されている。

 「(ツールを使ってアクセス制御を自動化することによって)アクセスという面で、データの安全性を十分に確保することができると考えている。問題の多くは、ヒューマン・プロセスを巡って発生するからだ。アクセスを制御することで、脅威への対応を自動化し、脅威を最小化することは、どんな企業にとっても重要だ」(テッパー氏)

 ファースト・アメリカンでは、従業員のラップトップが紛失したり、盗難にあったりした場合でも、だれかが勝手にデータにアクセスしたりすることのないよう、マシンに暗号技術をインストールしている。

 また、オフサイト・ロケーションでも、テープ・ドライブが盗まれた場合に備えて同様のツールを採用しているほか、セキュアレントが開発した、データ・ガバナンスを支援するための資格管理ソフトウェアも導入している。

 同社におけるアクセス制御の状況を、テッパー氏は「われわれのように数百ものアプリケーションを利用し、部門をまたいだ人事異動を普通に行っている大企業の場合、定期的に(アクセス権の)クリーニング・アップをする必要がある。

 そしてそんな環境では、一元的に管理できるツールがなければ、アクセス権をトラッキングすることは不可能なのだ」と説明し、こう続ける。「社外からのアクセスが可能であるかぎり、常に不用意な情報流出に備えておく必要がある。われわれは、そのためにセキュリティ技術を積極的に導入している。セキュリティ技術を導入し、社内のアクセス権を制御するためのプロセスを整備したことによって、状況は大きく改善された」

 同社はまた、2006年に初めてCISO(最高情報セキュリティ責任者)を雇い入れ、データ保護を経営戦略の一環と位置づけた。

 大企業の多くは、データ保護戦略を再構築するにあたって、ゼロからスタートしたいと考えるものだ。だが、たとえそれが可能であったとしても、ゼロから万全な情報保護体制をつくりあげるというのは容易なことではない。

 カリフォルニア州サンノゼに本部を置く小売チェーン、オーチャード・サプライ・ハードウェア(OSH)は、今から5年以内にチェーン店を全米展開する予定であり、CIOのマーティ・ホゲット氏は、その日に備えて本格的なITシステムの構築に取り組んでいるところだ。

 OSHが業務にワークステーションや新しいデータ収集システムを組み込んだことについては、ホゲット氏は「遅れて来た近代化だ」と笑うが、それでも機密情報をガードしながら、顧客、従業員、供給業者に関するデータの高度利用を可能にした点については、自ら合格点をつける。

 現在、OSH株のおよそ80パーセントは小売り大手のシアーズが所有しているが、OSHはシアーズからのスピンオフを目指している。そして、そのためにも、ITの近代化とともにデータ・セキュリティの確保が必要になるのだとホゲット氏は言う。

 「われわれはこれまで、多くの分野でシアーズに依存してきた。しかし、今後は、財務、支払い、人事システム、その他の点で自主性を発揮しつつ、全米に向けてビジネスを展開していくことになる。現在は、その方向で、いかにリスクを軽減できるかを検討している最中だ。そんな状況の中で、すべてをゼロからスタートするわけにはいかない。あらゆることを一気に推し進めようとすれば、破綻することが目に見えているからだ。IT基盤の構築に関して言えば、さまざまな局面で、データ・セキュリティをいかに確保するかがカギになろう」(同氏)

 ちなみに、こうした方針の下にホゲット氏が導入したツールの1つに、プロビラが開発したデータ漏洩防止ソフトウェアがある。この製品は、従業員および顧客の機密データを、意図的または偶発的な侵害から保護するためのものだ。

 「技術カーブが上昇し、処理能力が向上していくにつれて、われわれはリスクを最小化するために、さらに進んだテクニックを検討していくことになる。現在はローテクであるため、リスクも小さい。しかし、もっと高いレベルを求め、例えば自社ブランドのクレジットカードを発行するといった新しいビジネス展開を図ることになれば、さらに高度な安全性を確保し、同時にコンプライアンスの問題に取り組む必要も出てくるわけだ」(ホゲット氏)

専門家のアドバイス

 およそエンタープライズ・セキュリティに関しては、ハードウェア・メーカーからサービス・プロバイダーに至るまで、戦略的アドバイスを提示してくれるベンダーには事欠かない。その1社であるシマンテックで、製品管理上級ディレクターを務めるニック・メータ氏は、データ・ディスカバリ・システムにアンチ・マルウェア・アプリケーションを組み合わせるようアドバイスする。

 シマンテックのデータ・アーカイビングおよびセキュリティ・ツールを含むパッケージ「Enterprise Vault」の開発/マーケティングを担当するチームを指揮している同氏は、「いかに防御を固めても、それを突破する手段は必ず発見される。そして、データは必ず盗まれる。だが、暗号の紛失やビジネス・プロセスの違反といったことは、そういった問題を特定・阻止する技術さえ導入すれば、ほとんど起こさずに済むようになる」と説く。

 一方、エンタープライズ・セキュリティに力を入れているハードウェア・メーカーの代表としては、インテルを挙げることができよう。同社は、最近発表した「アクティブ・マネジメント・テクノロジー」など、新しいセキュリティ機能を、積極的に自社製品に搭載し始めているのだ。ちなみに、同技術は、マルウェアやその他の攻撃によってクラッシュしたデバイスを、IT管理者がリモートからフィックスできるようにするものだ。

 そのインテルで、ITセキュリティ・ディレクターを務めるマルコム・ハーキンス氏は、「ITの運用レベルは徐々に改善されているが、情報の管理・保護に関しては、これから先も常に改善し続けなければならない」とアドバイスしたうえで、「情報保護はデータの分類から始まるが、いったん分類してしまえば、以後、それぞれのリスク・レベルに応じてコントロールすることが可能になる」と指摘する。

 また、データセンター向けのセキュリティやコンプライアンス技術を提供するインパーバのゼネラル・マネジャー、ロビン・マットロック氏は、これまでのセキュリティ投資の負担が、新しいツールの有効性を経営陣に訴えるうえでの障害になっているが、それを乗り越えるためにはIT部門の真摯な姿勢が欠かせないとアドバイスする。

 「過去10年から15年ほど、ユーザー企業はセキュリティ問題を解決するためにさまざまな技術を導入してきた。しかしながら、経営側は、それらのソリューションが必ずしも有効であったとは思っていない。そのため、最近は、セキュリティ関連の新規投資がなかなか認められなくなってきている。こうした状況を打破するために、IT部門は経営陣に対して、問題の所在とそれを解決するための新しいオプションについて明確に語る必要がある」(マットロック氏)

提供:Computerworld.jp