このブログ記事は米国 AvePoint のブログで公開された記事 「See How AvePoint Compliance Guardian Automates Incident Management」 (執筆者: Edmund White) の抄訳版です (一部補足を加えています) 。
——————–
目次
1. 情報漏えい対策を始めたものの、ポリシー違反の数が多くて対応しきれない・・・
2. 情報漏えい対策、違反の対応は組織全体で行いたい
3. インシデント管理を最適な担当者に処理してもらうには
4. AvePoint Compliance Guardian で実行するインシデント管理のユースケース
5. 情報漏えい対策・リスク管理を 「みんなで取り組むこと」 にしていく
——————–
情報漏えい対策始めたものの、ポリシー違反の数が多くて対応しきれない…
「リスク度の高いコンテンツをどのように管理するか」 という問いへの回答を迫られるのは、往々にして組織にとっては不愉快な体験を伴うことが多いものです。最も問題のない例としては、従業員が SharePoint で検索を実行した結果、機密であるはずの情報を含んだコンテンツが検索結果に引っかかり、適切な担当部署にその事実が伝えられ、コンテンツは消去される、というシナリオが考えられます。しかし最悪のケースでは、監察官や規制当局の担当者に機密情報を発見される、もしくは機密情報を発見してしまった従業員が適切な報告を行わず、望ましくない人物に情報を漏らしてしまう、といった事態に発展してしまう可能性があります。このような展開になってしまえば、組織の名前が 「情報漏えい」 という単語とともに、全国ニュースで取り上げられてしまうことすら考えられます。
ひとたび組織が情報漏えい対策に乗り出すと、次から次へと機密情報が出てくることも珍しくありません。これは、組織の規模や業種に関わりなく、すべての組織が直面する可能性のある問題です。SharePoint やファイル サーバー、Web サイト、データベース、企業内ソーシャルなどには、数多くの情報保護ポリシー違反が氾濫しています。そして多くの場合、違反の数があまりに多いため、修正作業には非常に手間がかかり、負荷の大きいものとなって担当者や担当チームを圧倒してしまうことになります。
情報漏えい対策、違反の対応は組織全体で行いたい
ここで考えるべき重要なことは、組織はひとりの人間、もしくはひとつの部門によって所有されているのではないということです。リスクが存在するかどうか見極めるのは特定の部署や担当者の仕事かもしれませんが、情報漏えい防止の責任と管理は組織全体で担い、また実行する必要があります。
考えるべきポイント:
• 組織の情報環境のリスク度は、どのようにすれば正確に計測できるのか?
• リスクの検知から解決まで、どれくらいの時間がかかるか?
• 違反の数が多量にのぼった場合の処理はどうすればいいか?
これらの問題に答えを見つけるのは、非常に複雑で疲れるプロセスとなります。コンテンツのアセスメントを実行し、違反の対応を担当者に割り当てる際に考えるべきコンポーネントは、大きく分けて 3 種類存あります。
1. 範囲: コンテンツがどこに存在するのか (SharePoint なのか、ファイル サーバーなのか、Yammer なのかなど) という要素です。コンテンツが存在する環境への負荷、ガバナンスがどの程度効いているかなどは、情報が保存されている環境によって推定することができます。
2. 権限: そのコンテンツをコントロールしている担当者は誰なのか、その担当者がコントロールを持っている状態は適切なのかという要素です。
3. コンテンツ: そのコンテンツにはどのような情報が含まれているのか、その情報は機密情報と判断される種類のものか、特別な取り扱いを必要とするかどうかを決定する要素です。
各ドキュメント、アイテム、履歴、ページ、記録、IM (インスタント メッセージ) の取り扱いを決める際は、これら 3 種類の要素のすべてを考慮に入れる必要があります。そして、これらの要素に変更が生じた場合、情報漏えいの可能性は高まります。例えば、個人識別情報 (PII) が含まれたドキュメントは、アクセス制限を付けた SharePoint ライブラリに格納しておくことができます。しかし、格納の場所が共有用ドライブに変更された場合はポリシー違反となり、コンプライアンス違反インシデントとして記録・管理を実行する必要が生じます。
インシデント管理を最適な担当者に処理してもらうには
今回発売された AvePoint Compliance Guardian に搭載された インシデント管理 機能により、指定のユーザーにタスク リストを割り振り、最適な担当者がインシデントの処理にあたることが可能になります (補足: 日本では 2016 年 2 月 4 日より提供開始。詳しは プレスリリース をご参照) 。
AvePoint Compliance Guardian を利用してできること:
• コンテンツをスキャンし、コンテンツ内部に含まれる高リスク情報を検知
• リスクの重要度を比較し、最も重大な結果を招く可能性のあるインシデントの優先対応を可能に
• コンプライアンス違反の可能性のあるコンテンツを一時的、もしくは永続的にプラットフォームから分離。コンテンツの所有者が内容を確認し、インシデント解決を実行
• コンテンツによって影響を受けるメンバー、およびそのメンバーのロール (役職) をトラッキング
このような情報を活用することにより、AvePoint Compliance Guardian はインシデント管理を構成する各タスクの実行責任を各関連メンバーに割り当てます。各メンバーには優先度順位付きのタスク リストが割り当てられるため、参考にしながらアクションを開始することができます。この方法により、リスク管理を構成する各アクションが最適なメンバーに割り振られるため、効果的かつ効率的にインシデント対応を行う状況が実現できます。このような状況下では、コンプライアンス遵守は 「皆で実行するもの」 だという意識も生まれます。
では、AvePoint Compliance Guardian を活用して、環境全体を管理できるリスク管理中央プラットフォームでインシデント管理をよりシンプルに実行する方法についてご紹介しましょう。以下のユースケースをご覧ください。
AvePoint Compliance Guardian で実行するインシデント管理のユースケース
1) ジルは、会社の SharePoint サイト (会計部門用のチーム サイト) に保存してあるドキュメントを編集しています。ジルはサイトに、参考ドキュメントをアップロードします。
2) しかし、警告メッセージが表示され、さらに ジルは 「アップロードしようとしているドキュメントに機密情報が含まれています」 という内容のメールを受信します。
【解説】
ジルがドキュメントをアップロードしようとした際、実際には以下のことが起こっています。
1. まず、AvePoint Compliance Guardian がこのアップロードをインターセプトし、アップロード先のライブラリとアクセス権限に従って、ドキュメントに機密情報が含まれているかどうかを検知するスキャンを実行します。
2. その後、スキャンの結果に基づいて、AvePoint Compliance Guardian がドキュメント、および SharePoint の分類列をタグ付けし、自動的にメールを送信します。
3. 最後に、AvePoint Compliance Guardian がドキュメントを暗号化し、インシデント ワークフローを開始します (以下をご参照ください)。
3) ジルがライブラリに再アクセスすると、さっきのドキュメントが 「制限あり」 とマークされています。ドキュメントを開こうとすると、ドキュメントが暗号化されているのがわかります。
4) ジルがメールをチェックすると、このインシデントについて説明するメールが届いています。
5) 一方、ジルの上司であり、組織の会計監査役のカリームもメールを受信しました。メールには、コンプライアンス インシデントに関するアクションが、カリームに割り振られたという内容が含まれています。
【解説】
AvePoint Compliance Guardian で、担当者のアサインを実行するのは非常に簡単です。自動警告とインシデント管理割り当ては、Active Directory (AD) ユーザーやグループ、「役職」 や 「部署」 などのプロパティを使用して実行されます。また、SharePoint グループも使用可能であり、プライバシー関係のタスクや責任範囲を扱う際に活用が可能です。
6) カリームがメールに含まれているリンクをクリックすると、AvePoint Compliance Guardian の インシデント管理センター に移動しました。サマリー タブには、SharePoint で PII スキャンに引っかかったドキュメントが表示されており、このインシデントをレビューすることが要求されているという内容の説明が記載されています。カリームはタブに書かれた説明を読み、このインシデントについてさらに詳しく理解を深めます。
ジルが スキャンの詳細 タブをクリックすると、このドキュメントの中に社会保障番号が含まれていたという説明が表示されます。
実行されたアクション タブには、このドキュメントが 「制限あり」 としてタグ付けされ、暗号化されているという説明が記載されています。これは、ジルが SharePoint で見たのと同じ説明です。
問題ハイライト レポート タブには、ドキュメントそのものに含まれる違反内容や、どのような文脈で違反が発生したかの説明が表示されています。(注意: Compliance Guardian は、違反の内容そのものを保存することはありません。既存のドキュメントに存在する違反内容を洗い出します)。
監査 タブと 権限 タブには、このドキュメントの所有者およびこのドキュメントを使用できるメンバーの情報が記載されています。これは、今回のようにリアルタイムで情報のアップロードを阻止することができなかった場合、特に重要な情報となります。この情報を参照することにより、カリームは 「違反があったかどうか」「誰がこのドキュメントにアクセスできるのか」 を理解することができます。実画面では以下のように表示されます。
カリームはインシデントに関連するコメントを記入することもできます。また、インシデントの履歴を調べ、このインシデントの解決を誰かが試みているかどうかを確認することも可能です。
7) インシデントの詳細について確認を済ませた後、カリームが選択できる解決方法は、以下の 3 件のタブの名前に表示されています。「解決」「却下」「エスカレート」 です。今回カリームは 「解決」 を選択しました。
さらにカリームは、このドキュメントはライブラリに保存しておくべきではないと判断し、ドキュメントを削除することにしました。
8) カリームは、インシデント マネージャー リストに戻り、リスク スコア を利用してインシデントをソートし、最も優先度の高い案件を確認します。
ヒートマップとダッシュボード レポートを参照すれば、情報環境に存在するリスク要因に関係する重要業績評価指標 (KPI) について、さらに深く理解することも可能です。
情報漏えい対策・リスク管理を 「みんなで取り組むこと」 にしていく
多くの企業・組織が、ファイル サーバーやエクストラネット、外部向けに公開している Web サイト等に、検知できていない知的財産や機密情報、個人識別情報などが入り込んでしまっていないかという懸念を抱えています。このような 「存在にすら気が付けていないデータ」 は、「ダーク データ」 と呼ばれます。問題の規模の大きさに加え、文中で述べた 3 要素の複雑な絡み合いにより、問題の解決は時として非常に困難にうつることもあります。
しかし、何も対策をせずにいても、問題がなくなってくれるわけではありません。積極的に対策を取らなければ、情報漏えいによって引き起こされる顧客からの信頼の失墜、巨額の罰金・過料などが、ふりかかってくるでしょう。このような問題は、適切なテクノロジーと自動化を採り入れることで解決を図ることが望ましいといえます。
理想のソリューションとは、各コンテンツに対し、「誰が」「何を」「どこで」 実行するのかのコントロールを効かせることができ、かつ優先度順位を自動算出してくれるツールの導入です。さらに、組織全体でその指標を共有し、適切なメンバーに解決を割り振ることも重要です。なぜなら、コンプライアンスは組織全体で取り組むべき問題であり、その責任は組織に所属する各メンバーによって共有されるべきものだからです。AvePoint Compliance Guardian は、コンプライアンス違反が外部に影響してしまうその前に、効果的に違反事項を検知・解決するために最大限に活用していただくことのできるソリューションです。
AvePoint Compliance Guardian に新たに搭載された インシデント管理 機能について、さらに詳しい説明をお求めの場合は、AvePoint の営業部 までご連絡いただくか、デモのリクエスト を送信してください。