データ漏洩を防ぐためのベストプラクティス
情報漏えいの頻度や巧妙さが増すにつれ、情報漏えいによる事業損失は避けられないと感じられることがあるでしょう。 しかし、そうではありません。情報漏えいを防ぐためにできること、あるいは、情報漏えいが起こった場合にデータの損失を最小限に抑えるために実施できるベストプラクティスがあるのです。
ゼロトラストアプローチによるセキュリティで資産を守る
セキュリティへのゼロトラストアプローチでは、最小特権アクセス、ポリシーの実施、強力な暗号化などのソリューションで、ユーザとそのデバイスの制御と可視性を維持します。
パスワードのその先へ移行
ハッカーは、数多くの方法によりユーザー名とパスワードを取得できます。 例えば、ダークウェブで購入することや、従業員のワークスペースの付箋に書かれているものを見つけること、パスワード生成ソフトウェアを使用して推測することが可能です。 そのため、情報漏えいの81%は認証情報の漏洩が原因となっています。 また、個人情報、知的財産、その他の機密情報を保護するために、パスワードレスソリューションを提案しているのもそのためです。 EntrustのIDプラットフォームは、データ漏洩防止に対する最新のアプローチを提供することができます。
多要素認証を活用
情報漏えい防止プログラムでは、1つの認証手段に頼るのではなく、多要素認証が有効です。 これにより、企業はベーシックな認証から高保証認証への移行が可能になります。 多要素認証を選択する際には、認証方法をユーザーに対して透過的にするかどうか、認証をオンラインで行うか物理的なデバイスを介して行うかを考慮する必要があります。
適応認証の実装
適応型認証は、ログイン試行のたびにユーザーが本人であることの正当性を評価し、ユーザーとデバイスを確認します。 位置情報、ユーザーの行動、デバイスのレピュテーション、回避検知などの情報を確認し、ユーザーを評価した上でアクセスを許可しています。 ログインの試行が疑わしいと判断された場合、適応型認証によりステップアップした認証プロセスが可能になります。 これにより、ユーザーに追加情報を提供するよう促す、リスクが非常に高いと判断された場合はユーザーをブロックするなどの、セキュリティとUXを提供します。 適応型認証は、IT担当者、経営者、M&Aチームなど、高度な特権を持つユーザーにとって特に重要です。
暗号化だけに頼らない
暗号化はデータセキュリティのゴールドスタンダードであり、それには正当な理由があります。しかし、組織のコンピュータエコシステムにおいて個人情報を保護する唯一の手段ではありません。 GDPRやHIPAAを含む多くの法律上の要件は、暗号化されていないデータの損失が発生した場合にのみ通知を要求していますが、サイバー犯罪者は暗号化を破ることができますし、実際に破っています。 Entrust nShield HSMsは、データ漏洩に対する追加の保護レイヤーを提供することができます。
PIIおよびその他の機密データのインベントリ
情報漏えいを防ぐ最も効果的な方法の一つは、企業のITエコシステム内に保管されている個人識別情報(PII)、知的財産、その他の機密データを詳細に把握することです。 クラウドでPIIとIPデータのセキュリティを強化する方法があります。 サイバー犯罪者がどのようなデータを狙っているのかを知ることで、より効果的にデータを保護することができます。
透過的な認証の検討
透過的な認証システムは、日々の関与の必要なくユーザーを検証します。 これらの認証には、デジタル証明書、IP-位置情報、デバイス認証などがあります。 デジタル証明書は、マネージドのデジタル証明書サービスまたはサードパーティサービスから発行された既存のX.509デジタル証明書を利用します。 IP-位置情報認証では、企業のネットワークや資産に頻繁にアクセスする場所を登録します。 デバイス認証では、認証されたユーザーがよく使うデバイスを登録すると、暗号化されたプロファイルが作成されます。
物理フォームファクター認証を探す
物理フォームファクターは、ユーザーが認証のために携帯して使用するデバイスです。 ワンタイムパスコードトークン、ディスプレイカード、グリッド認証などの形態があります。 ワンタイムパスコードトークンの場合、2つの選択肢があります。 一つはOATHに準拠し、安全な8桁のデジタルパスコードを生成するミニトークンです。 もう一つは、OATHに準拠し、PINロック解除やチャレンジレスポンスモードなどの機能を追加したポケットトークンです。 ディスプレイカード認証装置は、クレジットカードのトークンに似ています。 グリッド認証は、数字と文字が行と列になったグリッドカード認証方式を使用します。
物理フォームファクター認証を評価する
このような情報漏えい対策は、物理的なデバイスを携帯していない場合でも、ユーザーの身元を確認することができます。 認証には、ナレッジベース認証、帯域外認証、モバイル認証があります。 ナレッジベース認証は、攻撃者が知り得ない情報を提供するようにユーザーに要求します。 帯域外認証では、ワンタイムの確認番号を生成し、トランザクションの概要とともにユーザーに送信します。 モバイル認証は、消費者、政府、企業のいずれの環境にも対応し、モバイル認証、トランザクション検証、モバイルスマートクレデンシャル、透過的認証技術によりセキュリティを提供します。
ユーザーとアセットの継続的な監視
ユーザーとアセットを継続的に監視することで、万が一不審な動きがあった場合に、ITチームが容易に発見することができます。
自動アップデートが可能なソリューションの採用
多くの場合、ソフトウェアやソリューションのパッチやアップデートが遅れている場合に、情報漏えいが発生します。 パッチやアップデートが自動的に行われるソリューションを採用することで、ユーザーのミスによってシステムが脆弱になることを防げます。
企業標準のためのベンダーを維持する
ベンダーやパートナーの情報漏えいは、あなたの責任になる可能性があります。 このリスクを軽減するために、個人情報、知的財産、その他の機密データを組織で管理し、ベンダーやパートナーに対しても、社内ユーザーと同じ基準で管理することを徹底してください。
業界特有の法律や規格を考慮する
業界によっては、個人情報、知的財産、その他の機密データが組織の生命線となる場合があります。 また、医療などの分野では、データや医療記録へのアクセスは生死に関わる問題です。 ヘルスケアにおける情報漏えいの防止策についてはこちら。