EFSSプラットフォームを通じて、脅威にどのように対処するか
これまで説明してきたリスクを防ぐのが、ビジネス向けファイルの同期と共有ツール(Enterprise File Synchronization and Sharing: EFSS)となります。以下、主要な5つの機能を紹介します。
認証
認証は、悪意ある攻撃者や許可されていないユーザーに対する最初の防衛線となります。他のセキュリティツールと併用することで、疑わしいアクティビティを監視するために使用されるフレームワークの不可欠なコンポーネントとなり、許可されていないユーザーが重要なデータへアクセスするのを阻止します。
また、自社で使用する認証のタイプに応じて、さまざまな情報を組み合わせて活用することで、以下の情報を検証することができます。
- 知識:個人識別番号(PIN)、ユーザー名、パスワード、秘密の質問の回答など、ユーザーの保有する情報
- 所有物:ユーザーの所有するアイテム。ソフトウェアトークンと組み合わせて使用されるセキュリティトークンやスマートフォンなどのデバイス
- 固有情報:生体認証データなど、個人の特定に不可欠な要素
- 場所・時間:これらの情報を使用することで、一定期間操作がされない場合や、営業時間外またはIT部門が許可していない地域・場所にアクセスしようとしている場合、特定のユーザーを排除可能
数百件に上ることもあるユーザーのアイデンティティを、複数の異なるシステムで管理・認証するために、EFSSプラットフォームには、初期設定が不要な認証に加え、複数の認証情報が連携できるよう、十分な柔軟性が必要です。
ファイル中心のデジタル著作権管理
デジタル著作権管理(Digital Rights Management: DRM)とは、著作物の利用を制限するための、さまざまなアクセス制御技術を意味する用語です。エンタープライズ・デジタル著作権管理(EDRMとも呼ばれる)では、PDFファイル、Wordファイル、Excelファイル、PowerPointファイル、画像ファイルなど、企業で利用しているファイルのアクセスと変更を制御するためにDRM技術を応用します。情報著作権管理とも呼ばれるエンタープライズDRMは、EFSSプラットフォームと連携し、機密文書を管理・保護します。
一般的に、DRMソリューションは、以下のコンポーネントで構成されます。
- データ暗号化:許可していないユーザーによるアクセスを阻止
- 権限管理:許可されているユーザーを対象に、EFSSプラットフォームが管理する各種ファイルの利用を管理
ファイルレベルのDRMにより、企業は、重要なデータがファイアウォールを通過した後も引き続き管理することができます。この点は、コンシューマー向けツールとセキュアなEFSSプラットフォームの重要な違いの1つです。エンタープライズ仕様ではないFSSにはDRM管理機能が組み込まれておらず、こうした機能を得るには、別なソリューションが必要です。
多くのEFSSプラットフォームは「閲覧のみ」としてアクセス制限をするだけで、それ以外はほぼ何もできません。使用中のドキュメントを侵入や誤使用から守ることはできないのです。さらに、こうしたツールは、モビリティに対するサポートのレベルがさまざまで、スマートフォンやタブレットへのポリシーの適応に対応していないものもあります。
監視、ロギング、管理
ファイルの誤使用を確実に防ぐには、EFSSプラットフォームにおけるアクティビティをすべてログに残して監視できることが重要です。そうすれば、特定のファイルにアクセスした人物、アクセスの場所と時間、アクセス時の使用デバイス、アクセス後の行動などを詳述したレポートを、いつでも入手することが可能です。こうした方法でファイルを監視することで、データが危険にさらされた場合も迅速な対応が可能になり、疑わしいアクティビティへの対応策として、すぐにアクセスを無効にできます。
EFSSプラットフォームは、従業員の無知をある程度補うことが可能です。スピアフィッシング攻撃によって不用意にデータを配布した人物がいても、データを保護できます。しかし、セキュリティ・トレーニングを怠って良いわけではありません。
このほか、EFSSプラットフォームのログ検索機能により、データ漏えい時にログとレポート提出が必要な規制産業は、監査用の簡易レポートを生成できます。レポートを作成するには、高度なデータ収集ツールが必要であり、多くの業界では、電子メールと添付ファイルの記録についても、こうしたツールによって収集する必要があります。これらはいずれも検索可能でなければなりません。
EFSSプラットフォームでファイルを共有する場合、ファイルではなく、ファイルへのリンクを送ることになります。ファイルと電子メールは、全く別のものです。つまり、電子メールの本文が検索結果に現れても、添付ファイルを読むことはできません。
そのため、EFSSプラットフォームには、電子メールのeディスカバリー・モジュールとの連携、監査を目的とした添付ファイルをインデックス化する手段が必要です。
暗号化と鍵管理
EFSSプラットフォームは、保護対象のファイルを暗号化するように設計されています。DRMと同様に、それに必要なものは製品によって異なります。EFSSベンダー各社は一般的に、サーバ側の暗号化、顧客の提供するキーを使用したサーバ側の暗号化、クライアント側の暗号化の3つの区分モデルのいずれかの方法で暗号化を行う傾向にあります。
インテリジェントな鍵管理を実現するには、クライアント側の暗号化が最も安全であり、共同作業のワークフローには最適です。この方法は、単一の管理コンソールで暗号化を一元化し、企業の管理下に置くことが可能になります。これによって、進行中のワークフローを中断することなく、必要な場所にのみ暗号化を適用できます。
マルチプラットフォームとモバイル機能
多くの従業員がコンシューマー向けのソリューションに注目する大きな理由は、その利便性です。彼らは自社の提供サービスに不満があり、ニーズを満たしていないと感じています。このことは、EFSSの最大の課題といえます。いかなるプラットフォームを導入するにせよ、消費者向けツールに劣らない、デバイスに依存しないシームレスなユーザビリティが求められます。しかし、このためにセキュリティを犠牲にしてはいけません。
ユーザーのニーズに応える一つの手段として、多くのEFSSプラットフォームには、組み込みのドキュメント編集機能が採用されています。編集中のドキュメントのセキュリティを維持しつつ、すべてのデバイスでセキュリティを実現するEFSSプラットフォームを検討すべきです。