好むと好まざるとにかかわらず、今日の世界ではあらゆるものが接続されており、データは、モバイルデバイスユーザー、企業ネットワーク、クラウドサービス(ソーシャルネットワークを含む)の間で驚くべき速度で共有されます。
データはいつでもどこでもアクセスできるものという感覚が身について、翌営業日にオフィスに行くまで、さらにはランチを終えてオフィスに戻るまでの時間であっても、データにアクセスすることができないという状況は許容されなくなってきています。外出先からもデータを共有する機能が必要です。利便性が最も肝要であり、その過程でセキュリティとプライバシーが犠牲になってしまうとしても、受け入れざるを得ません。正しいでしょうか?
そうではありません。企業は、管轄地域や業種などによって異なる様々なデータおよびプライバシー規制を通じて、データを共有する際の過失に起因するデータ侵害に対して責任を問われます。ほとんどの場合、被害者への補償ではなく、管轄部門から制裁金を科される形になります。管轄部門が制裁金を科すのは、それが企業への抑止力としてはたらくことを期待するためで、被害者が実際に民事訴訟や集団訴訟を起こすかどうかは被害者の判断に委ねられます。また、法務関係で、 e-Discovery への対応も必要になります。データ共有アクティビティにおいて問題がないことを立証できるよう、データを「人間が読める」電子形式またはデジタル形式で開示することを求められ、企業には時間的にも費用的にも多大な負担となります。各種ファイルはもちろん、ボイスメールやソーシャルメディアさえ対象になります。
手遅れになる前に準備
セキュリティとプライバシーをないがしろにすれば、高額の制裁金を科され、高い費用が発生し、そして評判を落とすというリスクが増大します。にもかかわらず、まだ多くの企業やユーザーは、機密データを扱う際にセキュリティやプライバシーについて十分な考慮をしているとは言えません。この状況は、ハッカーにとっては、それほど苦労しなくても(ランサムウェアを介した)身代金要求や ID 窃盗などに使えるデータを入手できるということを意味します。手遅れにならないうちに対策を考える必要があります。
ファイル共有の実施方法を確認し、ファイルを共有する前にいくつかの項目、例えば以下のような点をチェックする必要があります。
- このファイルを共有することは不可欠か?
- このファイルを、ハッカー、ライバル会社のクライアント、あるいは顧客が入手した場合、会社にどのような影響があるか? – 可能性があるリスクを推測する
- このファイルに自分の個人情報が添付されていたとしたら、それでもそれを送信するか? – もし送信しないなら、ほかの人の個人情報も同様の考慮が必要なのではないか?
ファイル転送・共有アクティビティに関して、セキュリティやプライバシーへの考慮が欠かせないことは当然ですが、モバイルデバイスを使用してファイル転送・共有を実施する場合には、新たなリスクが加わるでしょうか?
モバイルデバイスの使用
外出先からデータにアクセスできる機能は非常に重要ですが、規制コンプライアンスを満たすためには、保管中と転送中のデータを最高水準で暗号化する必要があります。データへのアクセスと、別のユーザーまたは別の場所へのデータ転送には格段の違いがあります。
ファイル転送に関する、パンデミック中の注目すべきユースケースとして、医師や看護師がモバイルデバイスを使って病院の外からPHIにアクセスする必要が生じるという状況があります。また、保険会社の調整担当者も、モバイルデバイスから写真を安全に請求部門に送信して処理する必要があります。法律関係では、急速にとは言えないまでも、LegalTech として紙ベースのプロセスからの移行が進んでおり、オフィスにいなくてもクライアントの案件を処理できる能力は重要になっています。
どのようなユースケースであっても、モバイルデバイスを使用してファイルを転送する際には、多くのセキュリティ上の懸案事項があります。
デバイスのタイプ
スマートフォン、タブレット、ファブレット、ラップトップ、ハイブリッド、そのほかどうのようなインターネット対応デバイスに関してでも、知見がある企業の多くは、承認されたベンダーや推奨デバイスサプライヤのリストを持っています。通常、パフォーマンス、技術仕様、予算などに基づいて選択を行い、セキュリティ問題に起因する製品ボイコットの要求があっても証明されていないものは無視する傾向があります。
OS
Windows 10、Android、iOS、Chrome OS、Linux ディストリビューションといった各種の OS については、追加される新しいデバイスを効果的に保護できるよう、インフラストラクチャと専門知識に見合った適切なオプションを選択する必要があります。OS のバージョンも問題になる可能性があります。最新の安全なバージョンがアクティブであることを確認して、サポート終了が迫った古いバージョンを破棄します。
アプリケーション
承認済みアプリケーションを決定する際には、ハッカーからアクセスされてサイバー攻撃を受けてしまうことのないよう、インストール中に過度のアクセス権限を必要とするようなアプリは慎重に検討する必要があります。VPN、アンチウイルス、マルウェア検出などのセキュリティソフトウェアをインストールすることも大切です。
Wi-Fi
パブリック Wi-Fi への接続には、セキュリティで保護されていない場合はホットスポットになってハッキングされやすいので特に、十分に注意する必要があります。
所有問題
BYOD、つまり個人デバイスの持ち込み使用は、そのコンセプト自体に私自身は懐疑的です。数台(少なくとも1台)の4Kテレビが買えるような値段のスマートフォンを、会社のビジネス活動に使用することを容認するわけです。IT 部門は、デバイスが紛失または盗難にあった場合や社員が会社を辞めた場合のリモートワイプ機能など、ネットワークに接続されたすべてのデバイスを完全にコントロールする必要があるはずです。会社が社員に勤務時間外にネットワークにアクセスしたり、オフィス外から業務したりすることを要求するなら、会社がそのためのデバイスを提供するべきだというのが私の持論であり、常識として推奨しておきたいと思います。
BYOD スキームに参加する必要がある場合は、IT 部門にデバイスの暗号化とパーティション分割を依頼し、個人アクティビティと業務アクティビティが完全に分離されるようにするのが合理的でしょう。仮にデバイスが後にリモートでワイプされることになったとき、個人所有の写真やデータをすべて失うようなことにならないように。
ファイル転送
モバイルデバイス、電子メール、エンタープライズファイル同期および共有(Enterprise File Synchronization and Sharing、EFSS)、その他のファイル共有ソリューションで機密データを送受信する場合は、セキュリティとコンプライアンスの観点から深刻な問題が発生する可能性があります。商用ソリューションであっても、監査証跡が欠けているものや、プライバシーポリシーが不徹底なものが含まれています。GDPR、PCI-DSS などの規制へのコンプライアンスを満たすには、データを暗号化(転送中も保管中も)する必要があります。IT 部門には、モバイルデバイスにも自社の IT インフラストラクチャ上のデバイスと同じセキュリティスタンダードを適用する責任がありますが、これはユーザーの関与なしでは実現できません。すべてのユーザーは、有線デスクトップコンピュータが従うべきセキュリティガイドラインに従う必要があります。
すべてのユーザーにモバイルデバイスのセキュリティ意識向上トレーニングを受けてもらうことは有意義だと思いますが、効果のほどは保証の限りではありません。言うまでもなく、ファイル転送ソリューションは、プラットフォームやタイプに関係なく、すべてのデバイスと互換性がある必要があります。コンプライアンスを満たすため、そして e-Discovery に備えるために、監査証跡を残す必要があります。データのプライバシーを保護できない場合は、使用しないのが得策です。
最後に
セキュリティとコンプライアンスを確保するための企業の姿勢が問われています。ガバナンスという意識がないままデータを見る必要のない人々にもデータを共有し続け、データ侵害やコンプライアンス違反が発生してから驚いて対処に右往左往する時代ではありません。
ファイル転送ソリューションの選択はプロセスの一部に過ぎませんが、適切な安全なソリューションを選択することは極めて重要です。プログレスのマネージド・ファイル・トランスファー・ソリューション、MOVEit の無料試用版を試してみることをお勧めします。MOVEit Transfer、 MOVEit Cloud には、無料で利用できる MOVEit Mobile アプリのサポート機能が組み込まれています。多要素認証(MFA)や Secure Folder Sharing (安全なフォルダ共有) などの高度な機能を維持しながら、モバイルデバイスで手軽にセキュアなファイル転送をアップロード、ダウンロード、管理できます。