多くの企業はリムーバブルデバイスの使用を禁止または制限(=「デバイス制御」)することで、従業員が社内データを安全でないデバイスにコピーして持ち出すことを防いでいますが、これだけで情報漏えい対策は十分でしょうか??
リムーバブルデバイスの使用を禁止されている従業員は、おそらく、電子メール、ファイル共有、クラウドストレージサービスなどを使用してファイルを持ち出すことを考えます。
「デバイス制御」は、コンピューターに接続するデバイスを制御するには効果的な方法ですが、インターネットを介した情報漏えい対策としては十分とは言えません。
「デバイス制御」での機密データ保護
✔ 従業員が機密データを含むファイルを安全ではないデバイスにコピーして持ち出す。 |
✔ リムーバブルデバイスを介してコンピューターをウィルス感染させて企業ネットワークを攻撃する。 |
✔ USBを使用して会社のコンピューターを起動してログイン資格情報をバイパスする。 |
「デバイス制御」だけでは不十分な理由
従業員は、電子メール、ワークストリーム・コラボレーションプラットフォーム、メッセージングアプリケーションなどを介して、データを毎日転送しています。これらのソリューションは、従業員間のコラボレーションを促進することを目的として会社が承認しているものもあれば、従業員が会社の許可なく使用している未知のサービス(シャドーIT)の可能性もあります。
現在は、すべての人が Dropbox、Evernote、Googleドライブなどのサービスを無料で利用することができます。このため、従業員はいつでもどこからでもファイルを利用できるクラウドストレージサービスへファイルをアップロードすることを選択するかもしれません。
これらのサービスは従業員にとっては非常に便利ですが、企業は従業員がアップロードしたファイルに機密データが含まれていないことを保証できるでしょうか?それ以前に、従業員がファイル転送にどのサービスを使用しているか把握できているでしょうか?
特定の有名なアプリケーションの使用をブロックすることでこのリスクに対処できると考えるかもしれませんが、この制限により、従業員が(会社がまだブロックしていない)あまり知られていない別のアプリケーションを探してきて使用してしまい、さらに大きな脅威をもたしてしまう...という結果にもなりかねません。
いずれにしても、「デバイス制御」機能だけでは、上記のようなインターネットを介した情報漏えいリスクに(従業員の生産性を低下させることなく適切に)対処することはできません。
「コンテンツ認識保護」での機密データ保護
クラウドストレージサービスなど、インターネットを介した情報漏えいを回避するためには、CoSoSys Endpoint Protectorのような「コンテンツ認識保護」機能を持つ DLPソリューションが役立ちます。
「コンテンツ認識保護」機能は、企業ネットワーク内外の機密データの移動を監視および制御します。コンテキストスキャンとコンテンツ検査によりファイル中の機密データの有無を識別し、許可されていないチャネルを介した機密データを含むファイル転送をブロックすることができます。「機密データ」は、業界やニーズに基づき企業独自にポリシーで定義することができます。
*この記事はCoSoSys 社の公式ブログを翻訳したものです。原文はこちら(内容を一部変更しています)。
ジュピターテクノロジーがご提案する DLP ソリューション製品「Endpoint Protector 5(エンドポイントプロテクター)」
お問い合わせ
