現在のデータ主導型の社会において、実用的なインテリジェンスに基づきサイバー セキュリティ面で適切な意思決定を行うには、ノイズの中に紛れ込んだシグナルを見逃さないことが重要です。Microsoft をはじめ、テクノロジー プロバイダーは顧客に提供する価値を高めるため「多いほど良い」コンセプトのもと、企業のためのデータ解析機能を次々に投入しています。
しかし、実はこのデータは管理されないままだとノイズが大きくなり、必要な作業が増えていってしまいます。一方、「何が起きているか把握しようがない」状態よりも、「知ることは可能」な状態の方が良いことは間違いありません。では、 Microsoft のさまざまなテクノロジーをどのように活用すれば、取り組みに優先順位をつけ、注目する対象を絞り込み、対処すべき問題をピックアップできるのでしょうか。情報化社会がもたらすノイズの中から、私たちが求めるシグナルを見つけるにはどうしたらいいのでしょうか。
コンプライアンスにつながる信頼と検証のアプローチ
データは全ての鍵を握っています。あらゆる組織が抱える機密データですが、その内容、場所、アクセス権限のあるユーザー、用途、保存期間、共有されているユーザーといった情報の把握が大切です。だからこそ、データのガバナンスとライフサイクル管理のために優れたポリシーを確立し、こういった情報を積極的に管理していく必要があります。
しかし、データのガバナンスについて、実際の運用をあまり考慮しない、理論に偏ったポリシーになっている企業は少なくありません。そういった場合、ポリシー自体はあるものの徹底されていなかったり、ユーザー任せになっていたりしがちです。ユーザーへの信頼に依存するシステムには以下のような課題があり、検証が必要です。
- データへのタグ付けは適切に行われているか
- 不適切な議論は行われていないか
- 機密情報が社内外のユーザーと共有されていないか
- プライバシーやコンプライアンスに関するポリシーが、意図的または不注意に回避されていないか
プライバシーとセキュリティの管理について年に一度のトレーニングを行っている企業もあるかと思いますが、本当の意味で安全性を高めつつ、従業員が仕事しやすい環境を構築するには、誤ったことをするよりも正しいことをする方が簡単な「コンプライアンスの習慣」を継続的に維持できるような企業文化とテクノロジー システムの確立が大切です。企業には、従業員がセキュリティを回避しないような、セキュリティ面で透明性のある組織づくりが求められます。こういった観点から、AvePoint はユーザーが適切な行動をとっているかを確認し、不注意による侵害を防ぐ「信頼と検証」のアプローチに基づいたソリューションを提供しています。
AvePoint のコンプライアンスへの取り組み
AvePoint のデータ中心の監査と保護のソリューションは、ビジネスに価値をもたらす実用的なアプローチです。AvePoint は、データ ガバナンスのフレームワークの効果的な構築と実施を支援します。
ディスカバリーと分類
現在、多くの企業で課題となっているのが、「ダーク データ」 (正しく理解されていないデータ) や、企業内システムにまたがって存在するデータです (ここでの企業内システムは、ファイル共有システム、SharePoint、ソーシャル システム、その他の企業内コラボレーション システムおよびネットワークを指します)。企業は、これらのデータがどこにあるのかを把握し、正しく分類することで、適切な保護レベルを設定できます。
例えば、セキュリティ手順が画一的で、大まかなセキュリティ管理しか実施されていない企業は少なくありません。しかし、論理的に考えて、例えば忘年会の写真と、顧客の重要なインフラ設計やビルド情報、クレジットカード情報に、同じセキュリティ プロトコルを適用する必要はあるでしょうか?
データ ディスカバリーを活用することで、保有データの出どころと関連性を把握し、適切な保持のスケジュールを確立できます。これは、データ損失防止の効果的な導入にもつながります。データを意識したセキュリティ ポリシーを確立することで、企業のセキュリティへのアプローチはより重層的になります。労力 (およびコスト) を費やすべき場面に優先順位を付け、複数の防御線を構築できるようになるのです。
AvePoint Compliance Guardian のディスカバリー ソリューションは、ファイルの内容とメタデータについて分析、インデックスの作成、検索、追跡を行い、レポートを生成します。これにより、組織は得られた結果に基づいてファイルに対処できるようになります。Compliance Guardian のデータ ディスカバリー機能を活用すれば、オンプレミスでもクラウド環境でも「ダーク データ」がどこにあるのかを発見できます。
データ ガバナンスのポリシーを定義する
ポリシーの積極的な適用
ユーザーの企業全体におけるデータの扱い方と共有方法を規定した企業ルールが確立していても、そのルールが実際に運用されるかは別の問題です。これはデータ ガバナンスと情報のライフサイクル管理において、組織の最大級の課題となっています。そこで、AvePoint はデータ ガバナンス戦略の導入におけるベスト プラクティスの一環として、導入されたポリシーやルールの積極的な運用を促す自動化のテクノロジーを取り入れています。
ポリシーは、以下の点を考慮し、効果的なテクノロジーを活用して実施されます。
- プライバシーとセキュリティを考慮した設計
- データ中心の監査と保護
プライバシーとセキュリティを考慮した設計
データ保護の戦略における基本のひとつに、ガバナンスを設計する時点でデータ プライバシーとセキュリティを枠組みに組み込むことが挙げられます。AvePoint Online Services (AOS) プラットフォームは、まさにこの点を念頭に置いて設計されています。組織は、AvePoint のテクノロジーを活用してデータ ガバナンスのプログラムを導入・強化することで、コラボレーション システム内にデータの発生から破棄にいたるまでのライフサイクルを自動で管理するポリシーを確立できます。具体的には、以下の機能が実現します。
- データ リポジトリの分類 – データ リポジトリのビジネス ニーズや用途を見定め、それをベースに、必要なガバナンス ポリシーのデータへの適用を推進します。
- 情報ライフサイクルの自動管理 – ステークホルダーの意見を取り入れつつコンテンツやデータ リポジトリの分類を進め、データの完全消去や破棄のルールを自動で管理し、実施します。
- 再認証と監査 – データの所有権およびアクセスの認証情報を積極的かつ定期的に自動で確認し、データの漏洩やコンテンツへの承認されていないアクセスを減らします。
- 組み込みのガバナンス機能 – エンド ユーザーのコミュニティがコラボレーションとコンテンツの作成を続ける場合、オンボーディング時にコラボレーションのコンテナに自動でガバナンス ポリシーをプロビジョニングし、積極的なポリシーの遵守を促進します。
データ中心の監査と保護
AvePoint Policy and Insights (PI) が Microsoft 365 プラットフォームを監視し、セキュリティ チームにとって重要な疑問である「機密データにアクセスできるのは誰か」、「アクセスは行われたか」、「脅威となる外部ユーザーはいるか」等への回答を簡単に得ることができます。
PI は、チーム、グループ、サイト、OneDrive のセキュリティに関する重要な疑問への回答を導くための情報を提供します。最重要の規制や権限管理を選択することで、利用環境に合わせたリスクを定義できます。PI は、ユーザーの潜在的な問題を組み合わせ、解析し、優先順位を付ける作業を通じて、アクセス管理、機密度、アクティビティに関するデータの相互参照を可能にします。機密性の高いコンテンツの過剰な露出、過剰にアクティブな外部ユーザー、シャドー ユーザーといったセキュリティ上の懸念事項を容易に特定します。これにより、最重要となる局面での対策を促進します。
※この記事は、米国 AvePoint で 2020 年 9 月 10 日付で公開された記事 “Securing Collaboration: Office 365 Governance in an Always Online World” の内容を日本語訳したものです。
最新情報をキャッチアップするには当社ブログの配信登録をおすすめします!
