世界的な大流行と新しいテクノロジーの進歩により、今日の職場環境は変化しています。現在、グローバル企業の55%がリモートワークやハイブリッドワークのためのスペースを提供しています。
この変化は、従業員がノートパソコン、タブレット、スマートフォンなどの複数のデバイスを介して、仕事に関連するデータやアプリケーション ソフトウェア にアクセスするようになったことを意味します。使用するデバイスの数は増え続けています。2019年には平均3台だったものが、2024年には平均4台のデバイスを使用するようになると考えられます。
50%以上の従業員が、自分のノートパソコンやスマートフォンなどの個人用デバイスで、多くの場合、公衆Wi-Fiなどの安全でないネットワーク経由でデータにアクセスしています。安全が確保されていないネットワークやデバイスで機密データにアクセスすると、データの盗難、ランサムウェア、ウイルスなど、サイバーセキュリティのリスクが高まります。
増加の一途をたどる企業へのサイバーセキュリティ攻撃
サイバー脅威は、その数と深刻さを増し続けています。データ漏洩は
2021年9月には2020年の総数を17%以上上回りました。また、サイバー攻撃は昨年27%増加し、リモートワークが攻撃の要因となっている場合、企業のコストは平均100万ドル増加しました。
サイバー脅威は、その数と深刻さを増し続けています。データ漏洩は2021年9月には2020年の総数を17%以上上回りました。また、サイバー攻撃は昨年27%増加し、リモートワークが攻撃の要因となっている場合、企業のコストは平均100万ドル増加しました。
サイバー攻撃は、ハードディスクやストレージデバイスにデータを整理して保存する方法であるファイルストレージに現実的な脅威を与えています。フラッシュ・ドライブなどのポータブル・デバイスは、職場と自宅の環境間でファイルを移動する必要のある従業員に一般的なストレージ機器ですが、組織はサイバー脅威に対してより脆弱な状態に置かれることになります。
これらのデバイスは、ファイルの共有や保存に不可欠なものですが、紛失、侵入、流用が容易なため、多くのサイバーセキュリティ上のリスクがあります。
また、従業員が自分のフラッシュドライブやUSBデバイスを職場に持ち込むこともよくありますが、これらの機器は、会社が所有・管理するデバイスと同様の保護機能を備えていない場合があります。したがって、機密情報は決して従業員所有のものや市販のものに保存してはなりません。
組織は、業界や法律のコンプライアンス要件を満たす、適切なエンタープライズレベルのファイルストレージソリューションを探す必要があります。
業界とその基準の厳しさによって、これらのストレージ要件は異なります。例えば、金融、医療、保険などの業界では、特に機密性の高い情報を扱うため、データストレージに関する厳しい業界固有の基準が適用されます。
企業は、厳しく規制された業界のコンプライアンス要件を満たす必要があるかどうかにかかわらず、データを保護するために安全で信頼性の高いファイルストレージソリューションに移行する必要があります。この記事では、セキュアなファイルストレージのための企業向けソフトウェアソリューションの利点を取り上げます。
1.アクセスと権限を管理する管理画面
業種・業態に関わらず、誰がどのデータにアクセスできるかを管理することは極めて重要です。セキュアなファイルストレージ・ソリューションでは、IT管理者はパスワード・プロトコルや暗号化レベルなどのユーザー権限をより詳細に制御することができます。
セキュアなファイルストレージには、デバイス、システム、ファイルへのアクセスに個人識別番号(PIN)、パスワード、指紋、確認コードを使用する多要素認証(MFA)が含まれていることがよくあります。MFAは、デバイス、システム、ファイルへのアクセスに個人識別番号(PIN)、パスワード、指紋、認証コードを使用するもので、不正アクセスのリスクを最大99%低減し、データ漏洩や損失の可能性を抑制します。
セキュアファイルストレージは、ユーザーグループに対して共有の認証情報を提供するのではなく、個別の認証情報を使用します。これにより、各ユーザーのアカウンタビリティが向上し、特定のアクセスレベルが実装されていない場合に発生しうるヒューマンエラーのリスクを低減することができます。
また、安全なファイル保存と共有には「最小権限アクセス」モデルが含まれ、各ユーザーは特定の責任を果たすために必要なアクセス権限しか持たないようにします。管理者は、カスタム制御することで、必要に応じて一時的に高いアクセス制御を行うこともできます。これらのアクセス制御は、タスクの完了後に直ちに取り消すことができます。
2.業界標準、軍用グレードの暗号化とコンプライアンス
ユーザーの利便性を追求した市販のファイル共有・ストレージソリューションに慣れ親しんでいることでしょう。これらのソリューションは、個人アカウントに適したストレージを提供することが多いのですが、ファイルのバックアップやアクセスに関する目的別のセキュリティ制御が欠けています。
また、このような市販のシステムには、規制の厳しい業界で必要とされる特定のコンプライアンス機能がないのが一般的です。これらの一般的なコンプライアンス規制には、以下のようなものがあります。
- カード会員データを扱う企業
- カード会員データを取り扱う企業は、Payment Card Industry Data Security Standard (PCI DSS) に準拠する必要があり、アクセス制御、カード会員データの暗号化通信、強力なパスワードポリシー、データおよびネットワークリソースへのアクセス監視などの実践が要件とされています。
- テクノロジーベンダーやサービスプロバイダー
- 医療関連事業者
- 金融業界の企業(または金融関連業務を第三者機関に委託している企業)
- システム・組織統制(SOC)に準拠しなければなりません。公認会計士(CPA)は、SOCとそのガイドラインを活用し、データ保管のアウトソーシングが業界標準に準拠していることを確認します。
業界やコンプライアンス対策にかかわらず、すべての業界は連邦情報処理規格(FIPS)が定める軍用レベルの暗号化に従うべきです。FIPSは、機密情報を送信するためのセキュリティ基準です。
企業は、定義されたデータ・セキュリティとコンピュータ・システム、および暗号化と復号化を遵守することで、FIPSに準拠しているとみなされます。組織は、厳格な評価プロセスを経て、FIPSの検証を受けることができます。
3. 転送・保存時の強力な暗号化プロトコル
より高度な保護のためには、すべての機密ファイルを暗号化する必要があります。暗号化とは、データをハッカーが解読できないコードに変換する方法と定義することができます。また、暗号化は法規制の遵守にもつながります(たとえば、PCI DSSでは、カードデータの保存時と送信時の暗号化を義務付けています)。
ファイルは、転送中と保存中の両方で暗号化する必要があります。
- 転送中の保護は、データがある場所から別の場所に移動する際にデータを保護します(例:電子メールでデータを送信する場合など)。
- 保存時の保護は、サイバー攻撃者が安全でないサーバーにバックアップを復元したり、データベースとそのファイルのコピーを作成したり、安全でない別のサーバーにこれらのファイルを添付することを防ぎます。
市販の一般消費者向けシステムは、ある程度の暗号化を提供しているかもしれませんが、カスタマイズがほとんどできないことが多くあります。リモートワークの増加やそれに伴うデバイスの種類の増加により、システムおよびデータ保護に関する新たな課題に既に直面しているIT管理者にとって、このような機敏性の欠如は、システムを厄介なものにする可能性があります。
エンタープライズレベルのセキュリティシステムは、パスワードプロトコルやファイルの読み書き権限などのカスタムソリューションを提供し、これらの重要なセキュリティ上の懸念に対処しています。
4.データのバックアップによる損失防止
データのバックアップがビジネステクノロジーの重要な要素になるにつれ、データストレージ(コンピュータやその他のデバイスにデジタルデータを保存する手段)の量も増えています。データストレージは、2020年の2億6000万ユニットから2021年には29億ユニットに増加すると推定されています(1ユニットはデータ100万個に相当)。
安全なファイルストレージシステムは、ローカル(および/またはシステムのクラウド)へのバックアップを確保するなど、ビジネスに不可欠なタスクを自動化します。クラウドベースのファイルストレージはバックアッププロセスを自動化し、Windows Information Protection (WIP) などのポリシーは、従業員と会社が所有する両方のデバイスに保存されたビジネスデータの安全を確保するのに役立ちます。
IT管理者は、WIPを使用して企業データにタグを追加し、ファイルが企業のストレージソリューションからダウンロードまたは保存されたときに、データの自動暗号化をトリガーすることができます。これらの機能は、データのバックアップを忘れるなどの人的ミスを減らすのに役立ちます。
企業レベルのストレージソリューションは通常、オンサイトとクラウドの両方のバックアップを提供するため、保存されたファイルは安全であると同時に、権限を与えられたユーザーがすぐにアクセスできる状態になっています。
このような冗長性をストレージシステムに組み込むことで、万が一、ストレージソリューションの1つの方法が侵害された場合でも、データ損失を防ぐことができます。また、データのモニタリングやロギングなどの機能により、企業のリーダーは、バックアップにすべての関連データが含まれていることを保証することができます。
5.長期データ保持の要件
業界の規制により、データを数年間(あるいは個人の生存期間)維持することが求められる場合があります。業界関連のデータ保護要件の例としては、以下のようなものがあります。
医療保険の相互運用性と説明責任に関する法律(HIPAA) HIPAAは、医療機関に対し、一部の医療記録を少なくとも6年間保持することを義務付けています。医療機関は、医療文書保管に関する州法の適用を受けることもあります。
労働安全衛生局(OSHA) OSHAは、従業員の記録を、従業員の解雇後少なくとも7年間保持することを企業に義務付けています。さらに、雇用主は医療被ばく記録を30年間維持することを義務付けています。
サーベンス・オクスリー法(SOX) SOX法では、ファイルなどの電子記録も含め、すべての企業に最低5年間の記録保持を義務付けています。
さらに、欧州連合の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)など、多くのデータプライバシーおよび保護規制は、データ保持に関して業界特有の要件はなく、特定の要件を定めています。そのため、企業はデータを安全に長期保存できるストレージソリューションを選択することが不可欠です。
WinZip Enterpriseでファイルを安全に保存
データを安全に保管するために、多くの企業が WinZip®Enterprise のようなエンタープライズ・テクノロジー・システムを利用しています。このソリューションは、連邦情報処理規格(FIPS)を含む複数の異なる暗号化方式により、転送中および保存中のデータを保護します。
WinZip EnterpriseはFIPS 140-2に準拠したセキュリティを提供します。米国国立標準技術研究所(NIST)によって開発されたFIPS 140-2は、政府の機密データを確実に保護するための暗号化モジュールのセキュリティ要件を特定しています。
また、このソリューションは、Advanced Encryption Standard (AES) 256ビット暗号化により、データバックアップの安全性を確保しています。AES 256ビット暗号は、当初1997年に米国政府向けに開発されましたが、現在ではより高いレベルのデータセキュリティを必要とする企業も利用できるようになりました。
WinZip EnterpriseはWIP対応アプリケーションであり、ITはWIPポリシーの中でカスタムストレージのアクセスや使用制限を設定することができます。これは、IT管理者に権限を与えながら、情報の保護とデータ損失の防止を両立させるものです。
さらに、ストレージスペースを節約するために(そしてデータストレージとセキュリティの上昇し続けるコストを削減するために)、WinZip Enterpriseは重複するファイルを検出しフラグを立てます。これは、企業のストレージ容量の制限による負担を軽減するのに役立ちます。
組織内で安全なファイルストレージを可能にするWinZip Enterpriseの利点をご確認ください。
また、無料の事前検証にお申し込みください。
この記事は、Top 5 Benefits of Secure Enterprise File Storage | January 25, 2022 を翻訳したものです。
定番の圧縮解凍から PDF 編集、バックアップまで
無料21日間トライアル実施中
個人はコチラから
法人はコチラから
