ビジネスプロフェッショナルとソフトウェア開発者1,000人を対象とした調査では、約45%が過去5年以内に自社でデータ侵害を経験したと回答しています。これは驚くべきことではありません。Nasdaqのデータ侵害レポートによると、2021年のデータ侵害件数は68%以上増加しており、この数は今後も増加する見込みです。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
データ侵害とサイバー攻撃の発生率が年々増加するにつれ、企業は数百万ドルもの収益と訴訟費用を失っています。実際、キャピタル・ワンはデータ侵害で個人データを盗まれた顧客に1億9000万ドルの和解金を支払わなければなりませんでした。
問題は、組織が不正アクセスやサイバー攻撃からデータをどのように管理し、保護するかということです。ここでデータ暗号化が重要な役割を果たします。この記事では、セキュリティ対策としてのデータ暗号化が、データアクセスとセキュリティ管理においていかに重要であるかを見ていきます。
データ暗号化がデータアクセスとセキュリティの管理に重要な理由
データはあらゆる組織にとって重要な資産の一つです。攻撃者は常にセキュリティ対策を突破する新しい方法を模索しているため、企業はデータ保護に意識的に取り組まなければなりません。ブランドがデータを保護する方法を見ていく前に、データアクセスとセキュリティの管理においてデータ暗号化が不可欠な理由をいくつかご紹介します。
セキュリティ構成の誤りがあった場合にデータを保護します
セキュリティ設定の不備は、セキュリティ設定が不正確に行われている場合、またはデフォルトのユーザー名とパスワードでセキュリティ制御が実装されている場合に発生します。システムの設定は、OSWAP Top 10やCISベンチマークなどのセキュリティ標準に準拠している必要があります。アプリケーション、ウェブサイト、サーバー、システムに付属するデフォルトのユーザー名やパスワードを使用すると、攻撃に対して脆弱になります。
セキュリティ設定の誤りは、データセキュリティに対する最も一般的な脅威の一つです。2020年のVerizonデータ漏洩調査レポートによると、データ漏洩全体の10%は設定の誤りが原因でした。また、ガートナーは、2023年までにファイアウォール侵害全体の99%が設定の誤りに起因すると予測しています。
データを暗号化すると、誤った設定やデータ侵害が発生した場合でもデータが安全になります。
サードパーティのアプリケーションはデータを公開できる
たとえ信頼できるマーケットプレイスからダウンロードしたものであっても、非正規のアプリを使用すると、組織のデータが危険にさらされる可能性があります。サードパーティ製アプリのセキュリティ上の欠陥により、ハッカーが機密データにアクセスするためのバックドアが作られる可能性があります。
ハッカーは現在、ランサムウェアの拡散にサードパーティ製アプリも利用しています。フィッシングほど一般的ではないため、この種の攻撃は成功率が高くなっています。実際、Ragnar Lockerと呼ばれるランサムウェアは、MSPが使用するリモート管理ソフトウェアを標的とし、データを暗号化しました。攻撃者は、復号のために20万ドルから60万ドルを要求しました。
データ暗号化を使用すると、サードパーティ製アプリケーションが組織の機密データや情報にアクセスできなくなります。アプリは、許可された情報にのみアクセスできます。
データ暗号化のベストプラクティス
組織に対するサイバー攻撃の発生率が年々増加しているため、企業はデータの暗号化において実用的な対策を講じる必要があります。ここでは、組織がデータ暗号化を利用する際のベストプラクティスをご紹介します。
統一されたデータセキュリティポリシーを構築する
組織の規模に関わらず、複数のインフラストラクチャとソフトウェアプラットフォームを使用している可能性が高くなります。例えば、一部のリソースをローカルサーバーでホストし、他のリソースをクラウドサーバーでホストしているといったケースが考えられます。
セキュリティの観点から見ると、異なる種類の環境やプラットフォームを利用することは、データ漏洩、フィッシング、ハッキング、ランサムウェアなどのセキュリティリスクを高めます。組織が使用するツールが多ければ多いほど、生成されるデータも増えます。そのため、データの紛失や悪用は非常に容易になります。そのため、統一されたデータセキュリティポリシーを構築することが重要になります。
統一されたデータセキュリティポリシーとは、組織のあらゆるデータの使用、監視、保存、管理を可能にするセキュリティ戦略です。セキュリティポリシーは、クラウドサービス、ローカルストレージ、サーバー、データベースなど、場所を問わず、組織が保存するすべてのデータを網羅する必要があります。これにより、保存データ、使用中データ、転送中データのいずれの場合でも、安全性が確保されます。このようなセキュリティポリシーを確立した後、重要な課題の一つは、異なるプラットフォーム間でポリシーをどのように適用するかです。
アクセス制御を実装する
アクセス制御は、組織が社内データやその他のリソースへのアクセス権限を制御できるセキュリティ手法です。このセキュリティ手法は、物理的または仮想的な認証情報が提供されない限り、アクセスを制御します。認証情報の例としては、パスワード、生体認証スキャン、個人識別番号、セキュリティトークン、生体認証スキャンなどがあります。
アクセス制御を実装することで、企業データの漏洩リスクを大幅に軽減できます。クラウド環境でデータにどこからでもアクセスできる場合や、組織でBYODポリシーを採用している場合、アクセス制御はさらに重要になります。
IDおよびアクセス管理ソリューションを使用する
IAMソリューションは、組織が認証情報を安全に保管し、データへのアクセスを管理することを可能にします。また、ゼロトラスト・フレームワークを効率的に実装する方法も提供します。
ゼロトラストとは、インフラストラクチャとデータを保護するフレームワークです。このセキュリティフレームワークでは、組織のネットワークは常にリスクにさらされていると想定し、組織内外を問わず、すべてのユーザーがデータやアプリケーションにアクセスする前に承認と認証を受けることを義務付けています。
IAM ソリューションを選択する際に考慮すべき事項は次のとおりです。
- 多要素認証: ユーザーがアクセス資格情報を失った場合でも、データを保護するのに役立ちます。
- サードパーティベンダー管理: これにより、組織はサードパーティの下請け業者がアクセスを悪用しないようにすることができます。
- セキュリティ イベントへの迅速な対応: たとえば、疑わしいアカウントをブロックするなど。
- 使いやすさとユーザーフレンドリーさ。
- IAM ソリューションは、さまざまなネットワーク アーキテクチャおよびオペレーティング システムと互換性がある必要があります。
結論
データ侵害は非常に大きな損害をもたらし、組織は数百万ドルもの収益損失を被る可能性があります。データ侵害やセキュリティ侵害は、内部的な問題を引き起こすだけでなく、顧客の信頼も失います。OktaとYouGovの調査によると、顧客の39%が、データ侵害やデータの不正使用の事実を知った時点で、企業への信頼を失ったと回答しています。また、88%の顧客は、信頼できない企業からは購入しないと回答しています。セキュリティ侵害やデータ侵害によるこうした影響を回避するには、データ暗号化が不可欠です。
データ暗号化は、企業の機密データや顧客情報を悪意のある攻撃から保護するのに役立ちます。たとえ転送中に権限のない個人や組織がデータにアクセスしたとしても、データは暗号化されているため、読み取ることはできません。
ベン・ハーズバーグは、エンドポイントセキュリティ、アナリティクス、アプリケーションおよびデータセキュリティの分野で豊富な経験を持つ技術リーダーであり、著書も執筆しています。CynetのCTO、Impervaの脅威調査ディレクターなどを歴任。DataSecOpsプラットフォームであるSatoriのチーフサイエンティストも務めています。
