多くの企業は現在、ネットワークサーバー、PC、ノートパソコン、モバイルデバイス、あるいはクラウドに保存されているデータに完全に依存しています。これらのデータの中には、個人情報や企業の機密情報が含まれている可能性があります。
ここでは、コンピュータシステムのセキュリティを見直す際に考慮すべき点と、データ損失のリスクを最小限に抑える方法について解説します。クラウドにデータを保存している方や、何らかの形でアウトソーシングを利用している方向けの追加的な考慮事項をまとめた関連ファクトシートもご用意しています。
大量の個人情報が公に流出した、注目を集めたデータ漏洩事件が数多く発生しています。これには、医療記録、財務記録、従業員情報などが含まれます。
商業組織は、競合他社にデータが漏洩するという追加のリスクにも直面します。
政府機関や企業による大規模なデータ損失がニュースで大きく取り上げられているのは言うまでもありません。しかし、適切な予防措置を講じなければ、規模に関わらず、どの企業でもデータ損失に見舞われる可能性があります。
英国文化・メディア・スポーツ省(DCMS)の委託による調査によると、2021年には英国企業の約39%が何らかのセキュリティ侵害またはサイバー攻撃を経験しました。報告書はhttps://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022。
個人データの使用と保管を監査する
企業で保管されている潜在的に機密性の高いデータについて考えてみましょう。
- 生年月日、医療情報、給与、銀行口座の詳細などが記載されたスタッフ記録
- 銀行/クレジットカード口座の詳細、PIN番号、パスワード、取引情報、契約情報、割引、価格を含む顧客およびサプライヤーの記録
- 財務および業績データと事業計画
- 機密データは必ずしも「安全な」データベースに適切に保存されているとは限りません。従業員は、データベースに保存されている情報の抜粋であるアドホックレポート(スプレッドシートやその他の文書を使用)を作成し、配布する必要があることがよくあります。このようなデータ取得は、多くの場合、データセキュリティを犠牲にして行われます。データベース自体には必ずアクセス制御が設けられていますが、これらのアドホックレポートにはアクセス制御が設けられていないことが多いためです。
- データに何が起こっているか、またこの情報の偶発的または意図的な損失を防ぐためにどのような制御が実施されているかを確認します。
リスク分析とリスク軽減
重要な疑問は、このデータのすべてまたは一部が失われた場合、誰がどのように被害を受ける可能性があるかということです。
この質問に答えたら、データ損失のリスクを軽減するための対策を講じる必要があります。データ損失のリスクを軽減するために実行すべき対策をいくつかご紹介します。
- 定期的にバックアップを実行し、バックアップデータをオフサイトに安全に保管する
- 高リスクのデータがクラウドに保存されている場合、どのようなセキュリティメカニズムが導入されているか、必要に応じてこのデータをすべて取得する方法を理解する
- オフサイトで使用されるすべてのデバイス(ノートパソコン、スマートフォン、タブレットなど)に保存されている情報の種類を確認してください。個人情報や機密情報が含まれている場合は、データの最小化または匿名化に努めてください。これらのデータには、最も適切なレベルのデータセキュリティとデータ暗号化が適用されていることを確認してください。
- モバイルデバイスによる社内施設の利用が許可されている場合は、BYOD(個人所有デバイスの持ち込み)ポリシーが確実に実施されていることを確認してください。さらに、適切なセキュリティ対策を実施し、デバイスに保存できるデータの種類を制限してください。
- オンライン決済を処理する企業のウェブサイトは、データ転送に最新バージョンのSSLを使用するなど、最高レベルのセキュリティ対策を講じていることを確認してください。決済処理を決済ゲートウェイサービスに委託せず、クレジットカード情報を自社サーバーのディスクまたはメモリに保存する場合は、PCIデータセキュリティ基準(PCI DSS)
- 社内のUSBや光学式デバイスなどの書き込み可能なメディアの使用状況や可用性を確認し、適切なセキュリティ設定、データ暗号化、物理的な制御を通じて、これらのデバイスへのアクセスを許可されたユーザーのみに制限することを検討します。
- 会社のウェブサイトとネットワークが攻撃に対する脆弱性についてテストされていることを確認し、侵入テスト会社に依頼してこれらのテストを実施することを検討してください。
- 機密情報を取り扱い、データが不要になった後は安全に廃棄するための手順があり、これには印刷物の廃棄も含まれる必要があります。
- モバイルデバイスに保存されている個人データや企業データを削除したり、アクセスを制限したりできる手順がある
- スタッフに、それぞれの責任、会社のデータセキュリティ手順、データが紛失した場合の対処法について教育する
- 不正な電子メール、ランサムウェア、マルウェア、その他の潜在的な脅威を識別し、従うべき手順についてスタッフをトレーニングします。
セキュリティ侵害
リスク軽減に加え、セキュリティ侵害が発生した場合に備えて手順を整備しておくことも重要です。これは主に以下の4つの領域に重点を置く必要があります。
- 被害を最小限に抑えるための復旧計画と手順
- 個人に対する潜在的な悪影響、その深刻さや重大さ、再発の可能性を評価するための回復レビュープロセス
- 通知手続き – これには、影響を受けた、または影響を受ける可能性のある個人への通知だけでなく、セキュリティ侵害が個人データの損失を伴う場合は、情報コミッショナー(ICO)に通知する必要があります。警察、銀行、メディアなど、他の規制機関や第三者にも通知する必要がある場合があります。
- 侵害後 – 同様の事態の発生を防ぐために適切な対策が講じられていることを確認し、手順を更新し、それに応じてスタッフをトレーニングまたは再トレーニングします。
便利なリソース
国立サイバーセキュリティセンター(英国) – www.ncsc.gov.uk/guidance 。
英国企業に対するサイバー脅威 – www.ncsc.gov.uk/cyberthreat 。
