データ漏洩につながる一般的な誤り、その影響と、それらを回避する方法を説明します。
はじめに
今日のサイバー脅威の状況は5年前とは大きく異なり、5年後にもまた様変わりしていることでしょう。
サイバー犯罪は収益性の高いビジネスとなっており、サイバー犯罪者は常に技術を磨き、最新のテクノロジーやテクニックを活用しようとしています。
2023年には、3,205件のデータ漏洩が公に報告され、3億5,300万人以上が影響を受けました。これらの侵害の一部は、高度で持続的な脅威による高度なサイバー攻撃の結果でした。その他は、玄関のドアの鍵を開けたままにして、高価な新しいガジェットの箱を縁石に置いておくのと同じサイバーセキュリティでした。
これらの脅威から守るには、データセキュリティがどう失敗するかを理解する必要があります。
このレポートでは、データ漏洩につながる一般的な誤りとその影響、それらを回避する方法を探ります。
データセキュリティの不備がもたらすリスク
データ漏洩は悪いことです。その後も会社が存続しているとすると、事態を収束させ、正常に戻すには多くの時間、労力、リソースが必要です。これらは、データ漏洩やデータ破壊につながるデータセキュリティの不備は、企業に損害を与える可能性があります。
機密データの損失
データは、企業にとっても、攻撃するサイバー犯罪者にとっても貴重な資産です。多くの場合、サイバー攻撃の主な目的は、組織の業務を妨害するためにデータを盗んだり破壊したりすることです。
その最たる例がランサムウェアで、最近ではその両方を行うように進化しています。以前は、ランサムウェアはデータを暗号化し、復元に必要な復号化キーを身代金として要求していました。現在、ランサムウェアグループもデータを盗むようになり、被害者が支払いをしなければデータを漏洩させると脅しています。
データ漏洩は必ずしも企業がデータにアクセスできなくなることを意味するわけではありませんが、データの破壊は組織に壊滅的な影響を与える可能性があります。その最たる例が、ウクライナの電力網に対するマルウェア「Industroyer」による攻撃です。2016年12月に起きたマルウェアのテストとみられる攻撃では、キーウの5分の1が約1時間にわたって停電しました。
経済的損失
ほぼすべてのデータ漏洩に言えることは、被害者にとって高額な費用がかかるということです。
2023 年のデータ漏洩の平均コストは 445 万ドルでした。企業は、次のようなさまざまな方法で侵害により金銭を失う可能性があります。
- 修復費用: データ漏洩の後、組織はインシデントを調査し、失われたデータを復元し、脆弱性にパッチを適用し、規制当局に報告する必要があります。多くの復旧作業には専門的な専門知識が必要であり、費用がかさむ場合があります。
- 賠償費用: 組織が顧客データを侵害した後、多くの場合、それらの顧客に補償するための措置を講じる必要があります。一般的な選択肢は、攻撃者が盗んだデータを悪用する潜在的な影響から保護するために、影響を受ける当事者をID監視サービスに登録することです。
- ビジネス損失:情報漏洩によりビジネスを失う可能性があります。インシデントが発生すると、組織はその業務を遂行できなくなり、売上減少につながる可能性があります。また、顧客は、侵害後に企業と取引をしないことを選択することもあります。
- 弁護士費用: 場合によっては、組織がデータ漏洩につながる過失で告発される可能性があります。これにより、会社は顧客から訴えられ、弁護士費用が発生する可能性があります。
- 規制上の罰則:ほとんどの企業は、機密データを保護するために特定のセキュリティ管理を行うことを義務付けるいくつかの法律の対象となっています。侵害後にコンプライアンス違反が発覚した場合、企業は支払いを余儀なくされる可能性があります。
- 生産性と機会費用:データ漏洩は破壊的であり、後始末に時間とリソースを費やすことになります。データ漏洩によって企業が閉鎖に追い込まれなくても、機会が閉ざされる可能性があります。
ブランドダメージ
現実には、攻撃者が十分な知識、忍耐力、リソースを持っていれば、どの企業もデータ漏洩の被害に遭う可能性があります。しかし、データ漏洩は重大なセキュリティ上の過ちを犯した企業にのみ発生するというのが一般的な認識です。事実であることもありますが、必ずしもそうであるとは限りません。
公平であろうとなかろうと、企業が顧客データの保護に失敗したという認識は、ブランドに大きなダメージを与える可能性があります。場合によっては、これにより顧客が競合他社に行ったり、会社が損傷したイメージを修復するために多額の費用を費やすことを余儀なくされたりする可能性があります。
ビジネス損失
データ漏洩は、組織の事業遂行能力に短期的、長期的な影響を与える可能性があります。短期的には、ランサムウェア攻撃や類似のインシデントによって組織が営業できなくなる可能性があります。
たとえば、2023年に30の病院を持つ医療チェーンであるArdent Health Servicesに対するランサムウェア攻撃では、ハッキングによって重要なデータやシステムが利用できなくなり、患者を他の緊急治療室に送り、手術を延期せざるを得なくなりました。
長期的には、データ漏洩の成功によるブランドの毀損は、ビジネスの損失にもつながります。多くの顧客は、侵害後に企業との取引を停止するまではしなくても、かなりの収益が失われることになります。
法的処置
一部のデータ漏洩は避けられないと見なされるかもしれませんが、会社の過失によって発生するものもあります。
このような場合、企業はインシデントの被害者から集団訴訟やその他の法的措置に直面する可能性があります。
また、セキュリティインシデントが発生し、サービスレベルアグリーメント(SLA)に違反した場合、企業は法的または契約上のペナルティに直面する可能性もあります。
たとえば、ランサムウェア攻撃によってダウンタイムが発生し、契約したサービスを提供できなかった場合、企業は顧客に賠償金を支払うことを余儀なくされる可能性があります。
規制上の罰則
欧州連合(EU)の一般データ保護規則(GDPR)やペイメントカード業界データセキュリティ基準(PCI DSS)などのデータ保護法は、顧客のデータを侵害から保護することを目的としています。
企業が侵害の被害に遭った場合、規制当局は、侵害を防ぐために十分な対策を講じているかどうかを、長期的かつ厳しい目で確認している可能性があります。
ほとんどの規制では、特定の種類の機密データを保護するために組織が実施する必要がある一連の最小限のセキュリティ制御が規定されています。これらには、暗号化、アクセス制御、ファイアウォール、その他さまざまなものが含まれます。
情報漏洩の被害者がコンプライアンスを遵守しているにもかかわらず、さらなる調査が必要な場合は、漏洩後の監査が必要になることがあります。
しかし、データ漏洩のインシデント後の調査では、組織のデータセキュリティプログラム内の体系的な欠陥が明らかになるのが一般的です。
その一例が、約1億4,700万人の個人財務データを流出させたEquifaxのハッキングです。このハッキングは、Webアプリケーションの作成に広く使用されているフレームワークであるApache Strutsの脆弱性にパッチを適用しなかったことが原因でした。この脆弱性は積極的に悪用されることが知られており、重要なセキュリティツールのデジタル証明書の有効期限が10か月前に切れていたため、検出されませんでした。
この違反の結果、米国連邦取引委員会は 同社に7億ドルの罰金を科しました。
ハッキングされてデータを失う原因とは
理論的には、データ漏洩はめったに発生しません。強力な暗号化、堅牢なアクセス制御、トレーニングを受けた従業員、適切なセキュリティ制御を導入することで、企業はサイバー犯罪者が機密データを盗んだり漏洩したりすることを困難にし、収益性を損なうことができます。
しかし、 2023年には毎週平均61件のデータ漏洩が発生しています。その理由は、ほとんどの企業がデータセキュリティに関してすべてを備えているわけではないからです。アクセス管理、暗号化、データの保持と削除のエラーは、データ漏洩の主な原因の一部です。
アクセス管理
定義の上では、データ漏洩はアクセス管理の失敗です。データが侵害されたと見なされるのは、データにアクセスするはずのない人がデータを入手した場合のみです。
データ漏洩はさまざまな理由で発生しますが、4分の3近くは人的要因が関係しています。これにはおもに従業員のミスによるもので、効果的なデータセキュリティには社員教育が不可欠です。
このセクションでは、アクセス管理の失敗がデータの損失や破壊につながる一般的な原因をいくつか見ていきます。
脆弱なパスワード
パスワードは、機密データへのアクセスを制御するための一般的なツールですが、恐ろしいもので、実際、データ漏洩の49%は認証情報の盗難に関係しています。
多くの場合、パスワードは攻撃者によって簡単に推測されたり、複数のアカウントで再利用されたりするため、1 回の侵害で関連するすべてのアカウントが危険にさらされます。
もちろん、これはパスワードがまったく使用されておらず、機密データに遭遇した人がアクセスできないことを前提としています。
脆弱なパスワードによって引き起こされる可能性のあるデータ漏洩の有名な例のひとつは、SolarWindsのハッキングです。このインシデントは、攻撃者がSolarWindsの開発環境にアクセスし、SolarWinds Orionネットワーク監視製品に悪意のあるアップデートをプッシュし、数百の企業に影響を与えました。
2019年、インターンが2017年にアカウントのパスワードを「solarwinds123」に設定し、そのパスワードを非公開のGitHubアカウントに投稿し、誤って公開していたことが発覚しました。
このアカウントは、SolarWindsのサーバーにファイルをアップロードし、アップデートに追加する機能を持っていました。これがハッキングの原因であったかどうかは定かではありませんが、必要なアクセスと機能を提供しました。
過剰なアクセス
アクセス制御の定義は一般的な課題であり、組織は少なすぎるのではなく多すぎるという過ちを犯すことがよくあります。ロールへのアクセスを調整するよりも、必要なすべてのアクセス許可を全員に付与する方が簡単です。
これは外部パートナーにも当てはまり、72%の企業がクラウドアカウントの完全なアカウント乗っ取りを実行するのに十分なアクセス権を第三者に付与しています。
この問題は非常に蔓延しているため、ゼロトラストセキュリティモデルは、組織内のすべての人が企業ネットワーク上のすべてのファイルやシステムにアクセスする必要があるわけではないことを述べるためだけに作成されました。
2023年、Microsoftは、攻撃者が経営幹部のメールアカウントにアクセスし、数か月間監視できる侵害に見舞われました。この攻撃は、管理者レベルのアクセス権が不適切に割り当てられた従来のテストアカウントのパスワードを推測することによって可能になりました。
このアクセス権により、攻撃者は悪意のあるアプリケーションを作成し、OAuth(「Sign in with Google」やユーザーのデータへのアクセスを許可するその他のオプションの基盤となるプロトコル)を使用して、電子メールアカウントに完全な権限を割り当て、幹部の電子メールを読み取ることができました。
リンクベースのクラウドファイル共有
クラウドは、ファイルの保存と共有を容易にするように設計されています。多くのクラウドプラットフォームでは、リンクベースのファイル共有が提供されており、リンクを知っている人なら誰でもファイルにアクセスできます。
ただし、これは非常に便利な反面、データセキュリティの大きなリスクでもあります。攻撃者はこれらのリンクを推測し、許可されていない受信者に送信される可能性があります。公開共有されたドキュメントは、使用されなくなった後に忘れ去られることがあります。
2023年、Microsoftはパブリッククラウドリンクにより38TBのデータ漏洩に見舞われました。同社の AI 研究部門には、Shared Access Signature (SAS) トークンを介して会社の Azure Storage バケットから特定の画像とコードへのアクセスを提供するパブリック GitHub リポジトリがありました。
ただし、このトークンは、共有を意図したオープンソースのイメージとコードではなく、問題のバケットへのフルアクセスを付与するように誤って構成されていました。
その結果、機密情報が漏洩しました。しかし、幸いなことに、これには顧客データは含まれていませんでした。
未承認のメール受信者
メールチェーンは長くて複雑になる可能性があり、チェーン上の全員が添付されたドキュメントを表示する権限を持っていることを確認するのが難しい場合があります。また、誤って間違った相手にメールを送信したり、既存のメールが第三者に転送されたりすることも簡単です。
これらのシナリオはすべて、機密情報が承認されていない受信者に公開されるリスクをもたらします。また、組織を規制当局に窮地に追い込むリスクもあります。
たとえば、医療保険の相互運用性とアクセシビリティに関する法律 (HIPAA) では、保護対象医療情報 (PHI) を間違った人に電子メールで送信すると、報告すべき違反になる可能性があります。
メールアドレスのタイプミスの影響はさまざまですが、2023年に発生したある事故は、それと同じくらいひどいものでした。英国国防省は、機密情報が米国防総省(DoD)ではなく、ロシアの同盟国であるマリに送られたことを発見し、調査を開始した。
この機密データの漏洩は、単純なタイプミスによって可能になりました。米国国防総省は、トップレベルドメイン(TLD)が.milのメールアドレスを持っていますが、.mlはマリに割り当てられたTLDです。「i」がひとつ抜けているだけで、これらの機密性の高いメールをリダイレクトすることができたのです。
クラウドとシャドーIT
シャドーITとは、従業員が未承認のデバイスやソフトウェアなどをビジネス目的で使用する行為です。クラウドコンピューティングとSaaS(Software as a Service)ソリューションの成長に伴い、クラウド環境はシャドーITの一般的なソースになっています。
従業員が企業データを個人のクラウドストレージやSaaSアプリにアップロードすると、企業はそのデータを可視化して制御できなくなります。これにより、安全でないパーソナルクラウド環境が原因でデータが侵害されたり、従業員が会社を離れるときにデータを持ち歩いたりする可能性があります。
2023年に発生したOktaの侵害は、1Password、BeyondTrust、Cloudflareなど、同社の複数の顧客に影響を与えましたが、これは会社のラップトップで個人のGoogleアカウントを使用したことが原因でした。
個人アカウントで Chrome ブラウザにログインした従業員が、企業のカスタマー サポート システムのサービス アカウントの認証情報を Chrome の組み込みパスワード マネージャーに保存していました。
ユーザーの個人アカウントを侵害し、これらのキャッシュされた資格情報を盗んだ後、攻撃者はOktaのカスタマーサポートシステムからセッショントークンを盗み、セッションハイジャック攻撃を実行することができました。
安全なリモートアクセスソリューションをお探しなら-Parallels RAS
Parallels®️ RAS(リモートアプリケーションサーバー)は、あらゆる規模の組組織がどこからでも、どのデバイスでも安全に作業できるようにする、柔軟な仮想アプリケーションおよびデスクトップ配信ソリューションです。構成に関係なく、デプロイの信頼性を確保するために、優れたエンドツーエンドのセキュリティやコンプライアンス対策が Parallels RAS コードに直接組み込まれています。柔軟性、シンプルさ、ユーザーエクスペリエンス、コスト効率を最優先に考えた Parallels RAS は、世界中の企業が安全なリモートアクセスを実現できるようにします。
クラウドセキュリティの設定ミス
データが企業のクラウド環境に保管されていたとしても、漏洩から完全に保護される保証はありません。
また、企業のクラウド環境には、セキュリティの設定ミス、アクセス制御の脆弱性、その他の問題があり、攻撃にさらされる可能性があります。実際、Gartner は、2025 年までのクラウド侵害の 99% が顧客の責任であると推定しています。
クラウドの設定ミスによる侵害の有名な例のひとつは、 2019年のCapital Oneの侵害です。この攻撃は、Capital Oneのアカウントを攻撃し、Capital Oneの約1億600万人の顧客の財務データを盗んだ元AWS従業員によって実行されました。
Capital Oneの侵害は、Capital OneのWebアプリケーションファイアウォール(WAF)に対するサーバーサイドリクエストフォージェリ(SSRF)攻撃でした。攻撃者はWAFを騙して、Capital OneのAWSシステムへのHTTPリクエストをWAFに代わって実行させました。
このケースでは、WAFの設定ミスが会社のAWSアカウントのすべてのデータを読み取る能力を持っていたという事実が問題でした。攻撃者はこのアクセスを悪用して顧客データを漏洩させ、後にオンラインに投稿し、攻撃が検知され、逮捕されました。
暗号化エラー
暗号化は、依然侵害に対する王者として君臨しています。暗号化されたデータは、機密情報を詮索好きな目から守る、つまり、暗号の剣を巧みに振るうことで、侵入できない要塞のようなものです。
暗号の魔法は、呪文が正しく、鍵が細心の注意を払って守られている場合にのみ機能します。
ここでは、暗号化がうまくいかない原因をいくつか紹介します。
機密データの暗号化の失敗
データ暗号化を台無しにする簡単な方法は、データをまったく暗号化しないことです。GDPR、PCI DSS、HIPAA などの規制では、特定の種類のデータを暗号化することが義務付けられています。しかし、機密データのかなりの割合が暗号化されず、保護が不十分なままです。
これらの欠点は、さまざまな理由で発生する可能性があります。組織は、暗号化が必要なデータがあることに気づいていない可能性があります。または、暗号化が組み込まれていないクラウド環境に保存されている可能性があります。実際、クラウドに保存されているデータのうち、暗号化されているのは約45%に過ぎません。
暗号化されていない機密性の高いデータのデータ漏洩は、残念ながらよくあることです。2023年の一例としては、旅行大手のMondeeとその子会社であるTripProが関係しています。Oracleクラウドでホストされている約1.7TBのデータは暗号化されておらず、パスワードで保護されていませんでした。セキュリティで保護されていないデータには、顧客の名前、性別、生年月日、自宅の住所、パスポート番号、フライト情報、クレジットカード番号が含まれていました。
この露出により、誰でもWebブラウザを使用して、IPアドレスだけで内部の機密データにアクセスできました。
脆弱な暗号化アルゴリズムの使用
安全な暗号化アルゴリズムは強力なデータ保護を提供しますが、弱いアルゴリズムは誤ったセキュリティ意識を生み出すだけです。場合によっては、開発者が独自の暗号化アルゴリズムを作成しようとすることがあります。しかし、これは予想以上に難しいです。
実際、熟練した暗号学者でさえ、暗号アルゴリズムの設計を間違えています。2022年、NISTの耐量子計算機暗号アルゴリズムコンテストの第4ラウンドに進出した暗号アルゴリズムであるSIKEが破られました。研究者たちは、アルゴリズムによって保護された鍵を1時間強で解読できることを発見しました。
より一般的な間違いとして、以前は安全だったが、その後破られた暗号化アルゴリズムを使用することです。
たとえば、データ暗号化標準 (DES) は、かつて暗号化のゴールド スタンダードでした。ただし、1999 年以降に破られ、2001 年に Advanced Encryption Standard (AES) に置き換えられました。
安全なアルゴリズムが正しく使用されていることを確認する定期的な暗号化監査を怠ると、重大なエラーが見落とされる可能性があります。
2020年、シチズンラボのレポートによると、Zoomは主張するAES-256ではなく、電子コードブック(ECB)モードでAES-128を使用していたことがわかりました。AES-128 は安全ですが、ECB は 128 ビット長を超えるメッセージに対しては使えないアルゴリズムです。ECBモードでは、同一の128ビットデータブロックから同一の暗号文が生成されるため、攻撃者はその内容を推測できます。
暗号化アルゴリズムの誤用
暗号化は強力ですが、正しく設計し実装されなければ脆弱です。間違った暗号化アルゴリズムを使用したり、小さな構成ミスを犯したりすると、暗号化によって提供される保護が損なわれる可能性があります。そのため、堅牢な暗号化ソリューションを持つことが重要です。
暗号化を実装する際のよくある間違いの ひとつは、暗号化された値ごとに一意である必要がある特定の値を再利用することです。初期化ベクトル (IV)、ナンス、および類似の値は、同一の平文が異なる暗号文を生成するようにし、特定の暗号解読攻撃から保護するために一意である必要があります。
Windows、iOS、Android向けの中国語入力アプリとして人気の高いTencentのSogou Input Methodは、2023年に暗号化の誤用によりデータ漏洩に見舞われました。このアプリケーションは、機密情報を含む可能性のあるネットワークトラフィックを復号化できる暗号ブロックチェーン(CBC)パディングオラクル攻撃に対して脆弱でした。
ディスクレベルの暗号化への依存
データはさまざまな方法で暗号化できます。一般的な選択肢は、ディスクの内容全体をひとつのキーで暗号化するディスク レベルの暗号化です。許可されたユーザーがログインすると、ディスクが復号化され、使用できるようになります。
ディスクレベルの暗号化の問題は、オール・オア・ナッシングであることです。ユーザーがログインすると、コンピューター上のデータからすべての保護が取り除かれます。パスワードが漏洩したり、脆弱なアプリケーションが、ディスクレベルの暗号化をバイパスしながらデータにアクセスしたりする可能性があります。
SQLインジェクションなどのWebアプリケーションの脆弱性を悪用する攻撃は、ディスクレベルの暗号化をバイパスします。
たとえば、Google Cloud Platform GCP では、ディスクレベルの暗号化がデフォルトで有効になっています。しかし、GCPのCloud SQLサービスに2023年の脆弱性があり、プラットフォームに保存されているデータが漏洩した可能性があります。この脆弱性により、攻撃者はシステム上で権限を昇格させ、最終的に完全なシステム管理者アクセス権を取得することができました。
データの保持と削除
企業には、さまざまなデータの保持と削除の要件があります。データプライバシー法は、企業が保持する顧客データを最小限に抑えることを求めていますが、他の法律では特定の記録の保持が義務付けられています。
これらの要件に準拠しようとすると、成功するかどうかにかかわらず、組織に明確で定期的に見直されるポリシーがない場合、セキュリティリスクが発生する可能性があります。
次に例をいくつか示します。
忘れられたデータ
ここ数年でデータストレージははるかに安価になりました。クラウドストレージのコストはGBあたり月額約0.02ドルで、ほとんどのクラウドアカウントにはギガバイトの無料クラウドストレージが付属しています。
このため、不要になったデータを削除する経済的な理由はほとんどありません。
さらに、企業はランサムウェア、データ損失、その他の脅威から保護するために、頻繁にバックアップを作成する可能性があり、またそうすべきです。
しかし、クラウド環境でデータが放棄されたり忘れられたりすると、重大なセキュリティリスクが生じる可能性があります。これらのデータセットには機密情報が含まれている可能性があり、本来あるべく強度で保護されていない可能性があります。
その結果、攻撃者は保護が不十分なデータにアクセスし、それを使用して企業とその顧客を攻撃できる可能性があります。
さらに、同社は、不要になった顧客データの削除を義務付けるGDPRや同様の法律に基づく潜在的な規制罰則にも直面しています。
2021年、遺伝子検査会社であるDNA診断センター(DDC)がデータ漏洩に見舞われ、約210万人の社会保障番号(SSN)が流出しました。この侵害は、同社が9年前に別の企業を買収し、自社が保有していたことを知らなかったいくつかのデータベースを継承したことで可能になりました。これらのデータベースはアクティブな顧客のデータベースと同じレベルで保護されていなかったため、ネットワーク上の侵入者がデータにアクセスして盗み出すことができました。
データのバックアップの失敗
企業は、データに対するさまざまな脅威に直面しています。ランサムウェアは、データを暗号化し、その回復のために身代金を要求するように設計されています。サービス拒否 (DoS) 攻撃、デバイスの紛失、ハードウェアの破損なども、企業データや顧客データの損失につながる可能性があります。
頻繁なバックアップは、失われたデータを復元する手段を提供することで、これらの脅威から保護するのに役立ちます。実際、ランサムウェア攻撃からの平均復旧コストは、組織が身代金を支払うのではなくバックアップから復旧した場合、ほぼ半分になります(160万ドル対260万ドル)。
組織にバックアップがある場合でも、これだけでは十分ではない可能性があります。CloudNordicの場合、デンマークを拠点とするホスティング会社の顧客は、2023年のランサムウェア攻撃ですべてのデータを失いました。このマルウェアは、データのプライマリコピーだけでなく、2セットのバックアップも暗号化し、復元不能にしました。
パスワードの紛失や忘れ
パスワードは、機密データへのアクセスを管理するために一般的に使用されます。パスワードベースの暗号化とアクセス制御により、攻撃者はユーザーのパスワードがデータにアクセスする必要があります。
ただし、これにより単一障害点が作成され、データ損失のリスクが生じます。ユーザーがパスワードを忘れたり、会社を辞めたりした場合、組織はそのパスワードで保護されているすべてのデータにアクセスできなくなる可能性があります。これが貴重なデータの唯一のコピーである場合、ビジネスに多大なコストがかかる可能性があります。
組織の重要なデータを保護するためのベストプラクティス
データセキュリティは、さまざまな方法で問題が発生し、コストのかかる厄介な侵害につながる可能性があります。しかし、データ漏洩の大部分は、基本的なサイバーセキュリティのベストプラクティスを実装していないことが原因です。
以下は、自社と顧客のデータを保護するために実行できる重要なセキュリティ手順です。
強力なパスワード
強力なパスワードの使用を強制することは、データセキュリティにとって不可欠です。
アカウント乗っ取り攻撃のリスクを最小限に抑えるには、パスワードを次のとおりにする必要があります。
- 長い: パスワードは 8 文字以上にする必要があります
- ランダム: パスワードは、辞書に載っている単語ではなく、ランダムに生成する必要があります。
- 複数文字: パスワードは、大文字と小文字、数字、特殊文字を組み合わせて構成する必要があります。
- 一意: パスワードは複数のアカウントで再利用しないでください。
企業は、さまざまな方法で強力なパスワードポリシーを適用できます。パスワードの長さ、ランダム性、文字セットを確認するのは比較的簡単です。組織は、侵害されたパスワードのデータセットと比較することで、パスワードの強度と一意性を確認することもできます。
保存中および転送中のデータの暗号化
データは、そのライフサイクルを通じていくつかの異なる状態になることがあります。これらには以下が含まれます:
- 保存時: ディスクまたはメモリに保存されているデータ
- 転送中:クラウドネットワーク上を移動するデータ
- 使用中: プログラムによってアクティブに使用されているデータ
データは可能な限り暗号化する必要があります。保存中や転送中のデータの暗号化は、これらの状態にある間はデータが変更されないため、比較的簡単です。ファイル暗号化を実装し、トランスポート層セキュリティ (TLS) を使用してネットワーク トラフィックを保護することで、これらの状態の機密データの漏洩を防ぐことができます。
ほとんどの暗号化アルゴリズムでは暗号化されたデータに対して計算を実行できないため、使用中のデータの暗号化はより困難です。使用中のデータの暗号化を可能にする準同型暗号化アルゴリズムは存在しますが、一般的に企業での使用には効率が悪すぎます。
そのため、保存中や転送中のデータを暗号化することで、可能な限り強力な保護が提供されます。
最小特権のアクセス制御
アクセス制御は、いくつかの異なる方法で間違っている可能性があります。場合によっては、組織は境界のセキュリティ保護に重点を置き、内部関係者がその境界内のすべてにアクセスできるようにします。また、従業員には、不要な場合でも、自分のデバイスに対する管理者レベルのアクセス許可が付与される場合もあります。
ゼロトラストセキュリティモデルでは、最小権限アクセス制御の使用が推奨されています。最小特権の原則では、ユーザー、デバイス、アプリケーションなどは、その役割に不可欠な権利と特権のみを持つ必要があると述べています。
最小特権を実装すると、アカウント乗っ取り攻撃の潜在的なリスクと影響が軽減されます。攻撃者が侵害されたパスワード、マルウェア、またはその他の手段によってユーザーのアカウントを制御したとしても、そのアカウントを使用して、従業員がそもそもアクセスする権限を持たないデータやその他のリソースを盗んだり悪用したりすることはできません。
データの保持と削除
データの保持と削除は、企業にとって複雑な問題です。一方では、金融規制により、企業は一定期間記録を保持することが義務付けられています。
一方、GDPRやCCPA/CPRAなどのデータ保護法では、組織は顧客データが本来の目的に必要でなくなった後、そのデータを破棄することが義務付けられています。
これらの要件のバランスを取るには、明確なデータ保持ポリシーによって管理される優れたデータの可視性と制御が必要です。
データ保持と削除のポリシーを設計・実装する際には、自動化が重要です。データを手動で追跡し、バックアップを作成したり、不要なデータを削除したりすると、見落としが発生する可能性があります。
一部のデータセキュリティソリューションでは、企業ポリシーにしたがい機密データを自動的にバックアップまたは破棄する機能を提供しています。
データ損失防止 (DLP)
一般に、データ漏洩は、企業のネットワーク内にとどまるはずのデータが外部に流出したときに発生します。これらのリークは、電子メール、クラウドストレージ、USBドライブなど、さまざまな方法で発生する可能性があります。
データ損失防止ポリシーとツールは、これらのデータ漏洩から保護するのに役立ちます。
主なベストプラクティスには、次のようなものがあります。
- データを特定して分類
- すべての機密データを暗号化
- パッチとアップデートを定期的に適用
- 組織内外のデータ移動を監視。
- 個人用クラウドアカウントへのアクセスを制限
- データセキュリティのベストプラクティスについて従業員をトレーニング
WinZip Enterprise によるデータセキュリティの強化
さまざまなミスがデータ漏洩につながる可能性があり、ベストプラクティスの実装は複雑なプロセスになる可能性があります。WinZip® Enterprise は、企業が企業ネットワークの内外でデータを保護するために必要なツールを提供します。
パスワードベースのファイル暗号化
データの暗号化に関しては、粒度が高ければ高いほど良いです。ディスクレベルの暗号化やその他の一般的なデータ暗号化ソリューションでは、攻撃者が暗号化をバイパスして機密データにアクセスする機会が増えます。
たとえば、ディスクレベルの暗号化は、盗まれたデバイスから保護するように設計されており、侵害されたユーザー アカウントや脆弱なアプリケーションに対する防御にはなりません。
WinZip Enterprise は、ファイルレベルでユーザーフレンドリーな暗号化を提供します。迅速なコマンドで、安全なパスワードを作成し、ファイルを暗号化し、パスワードとファイルリンクを含む電子メールを送信し、すべて受信者に設定されます。
WinZip Enterprise は、暗号化をファイル レベルに移行することで、ディスク上の一部のファイルを復号化しても、他のファイルの暗号化が損なわれないようにします。
暗号化アルゴリズムの標準
Advanced Encryption Standard (AES) は、米国国立標準技術研究所 (NIST) によって承認された公式の暗号化アルゴリズムです。3つの異なる秘密鍵強度(129、192、256ビット)を提供し、公共部門と民間部門の両方で暗号化の標準基準と見なされています。
実際、米国政府は、極秘の機密データの暗号化アルゴリズムとしてAESのみを受け入れています。
WinZip Enterprise のパスワードベースの暗号化では、暗号化アルゴリズムとして AES が使用されます。現在、3 つの AES キーの長さはすべて安全であると見なされていますが、ユーザーはファイルに使用するセキュリティのレベルを選択できます。
パスワードポリシーの適用
脆弱なパスワードは、アカウントとデータのセキュリティにとって一般的な課題です。パスワードが短すぎたり、制限された文字セットを使用したり、ランダムでなかったりすると、攻撃者が推測しやすくなります。たったひとつのパスワードが破られるだけで、データ漏洩が発生します。
WinZip Enterprise はパスワードを自動生成できますが、ユーザーは独自のパスワードを指定することもできます。ただし、脆弱なパスワードから保護し、企業のセキュリティポリシーに確実に準拠するために、パスワード要件(最小長、文字セットなど)を自動的に適用するようにソフトウェアを構成できます。
安全なクラウドファイル共有
クラウドベースのファイル共有は、コラボレーションに非常に役立ちます。これは、リモートワークやハイブリッドワークの取り決め、または分散型の企業に当てはまります。
ただし、クラウドファイル共有は、個人のクラウドアカウントが関係している場合、リスクを生み出します。パーソナルクラウド上のデータは企業の管理外であり、リンクベースの共有を使用すると、企業クラウドでもプライベートクラウドでも、機密データに一般公開される可能性があります。
WinZip Enterprise を使用すると、組織はファイル共有に承認された企業クラウド アカウントの使用を簡単に強制できます。WinZip は、ファイルをクラウドにアップロードし、電子メールやその他のメディアで共有するプロセスを合理化することで、ユーザーが同僚や外部パートナーとデータを共有する安全でない方法をデフォルトにするインセンティブを取り除きます。
クラウドファイルの自動有効期限
ほとんどの人は、何年も手つかずのままクラウドストレージに眠っているファイルを少なくともひとつ持っています。これは、古い休暇の旅程、共有された写真などである可能性があります。無料のクラウドストレージを使用すると、不要なファイルを定期的に調べて削除する必要はありません。
ただし、これらの長期間保存され、忘れられたファイルは、顧客の個人を特定できる情報が含まれている場合、企業にとって問題になる可能性があります。さまざまなデータプライバシー法により、このデータが不要になったら削除することが義務付けられています。しかし、これは言うは易く行うは難しいものです。
WinZip を使用すると、組織とユーザーはクラウド データのデータ削除を自動的に強制できます。WinZip を使用してクラウドに保存されたファイルを管理する場合、ユーザーはファイルが自動的に削除される有効期限を定義できます。
クロスクラウド統合
87%の企業がマルチクラウドを導入しています。クラウドプロバイダーが異なれば、利用できる専門分野や製品も異なります。組み合わせることで、同社は利用可能な最良の取引を獲得し、ホストするデータとアプリケーションのインフラストラクチャを最適化できます。
ただし、複数のクラウドを使用すると、クラウド間でデータを移動したり、セキュリティ ポリシーを適用したりすることが困難になる可能性があります。その結果、企業はデータを追跡できなくなり、攻撃にさらされる可能性があります。
WinZip は、ほとんどの主要なクラウド プラットフォームとシームレスに統合できます。ユーザーは、コンピューターと複数のクラウド環境間でファイルを簡単に移動できます。WinZip にはパスワードベースのファイル暗号化が組み込まれているため、マルチクラウド環境でデータを安全に管理できます。
緊急対応パスワードの回復
パスワードは、さまざまな理由で失われます。重要なドキュメントを保護するために使用されるパスワードを忘れたり紛失したりする可能性があります。また、従業員が退職すると、組織は元従業員だけが知っているパスワードで暗号化されたデータにアクセスできなくなる可能性があります。
WinZip Enterprise は、その画期的な機能により、データセキュリティの必要性とデータ損失のリスクのバランスを取ります。WinZip Enterprise アプリケーションは、IT チームまたはセキュリティ チームが管理するマスター公開キーを含むように事前構成できます。
ファイルが WinZip で暗号化されるたびに、回復情報が生成され、この公開キーで暗号化されます。これにより、何か問題が発生した場合、パスワードを紛失したり忘れたりした場合でも、マスターキーを使用してデータを復号化できます。
WinZip共有で個人用メールを無効化
個人的なメールでは、間違った相手にメッセージを送るのは恥ずかしいことです。ビジネスの文脈では、メールに機密性の高い顧客情報が含まれている場合、同じミスがデータ漏洩や法的な問題につながる可能性があります。
WinZip Enterprise は、メール アドレスに入力ミスがあったからといって、法務部門が関与する必要があることを意味しないようにします。WinZip ソフトウェアを設定する際、管理者はファイル共有時に個人の電子メールアドレスを禁止できます。これにより、企業データが社内にとどまり、偶発的または意図的に外部に公開されることがなくなります。
自動バックアップ
物事はうまくいきません。企業は、すべてのデータを暗号化または削除するランサムウェアまたはワイパー攻撃の被害者である可能性があります。重要なデータベース サーバーに障害が発生し、ドライブに格納されているデータが破損する可能性があります。空調が壊れていると、サーバーが過熱して壊れる可能性があります。
このような状況では、企業がインシデントから回復できるかどうかは、失われたデータのバックアップコピーがあるかどうかにかかっています。
WinZip Enterprise を使用すると、組織はすべてのコンピューターに対して自動バックアップをスケジュールし、データを暗号化してクラウドに保存し、損失を最小限に抑えながらデータを復元するために使用できます。
データ漏洩リスクの管理
ハッキングされて機密データが漏洩することは、残念ながら非常に簡単です。データセキュリティがうまくいかない原因はいくつもありますが、たったひとつのミスで、コストと損害を与える侵害の被害に遭う可能性があります。
しかし、堅実なデータセキュリティプログラムは、これらの落とし穴を回避するのに役立ちます。
結論
急速に進化するサイバー脅威の状況では、データセキュリティの不備のリスクが大きく立ちはだかっており、私たちは最大限の注意を払う必要があります。データ漏洩の影響は、金銭的損失をはるかに超え、ブランドの毀損、ビジネスの損失、法的措置、規制上の罰則の領域にまでおよびます。
侵害の頻度が高まっていることに代表されるように、暗号化とアクセス制御の理論的な強度は、実際にはしばしば揺らぎます。
防御を強化し、このレポートで取り上げた脆弱性に対処する責任は組織にあります。脆弱なパスワードとの闘いからアクセス制御の再評価まで、堅牢なデータセキュリティに向けた各ステップは、データ漏洩の状況における別の統計になる一歩一歩です。
この電子書籍をロードマップとして活用し、組織の重要なデータを保護し、絶え間なく存在するサイバー脅威に対するレジリエンスを確保しましょう。サイバー攻撃者に対しては、プロアクティブな防御が最強の盾となります。
そこで WinZip Enterprise の出番です。WinZip Enterprise は、高度な暗号化機能により、保存中、転送中、クラウド内のいずれであっても、機密情報を不正アクセスから守ります。これは、厳格なデータ保護法や規制の下で働くIT(セキュリティ)管理者にとって貴重です。
ワークフローにシームレスに統合することで、WinZip Enterprise は、リムーバブルメディア上の機密ファイルを管理、保護、転送できる単一の画面となり、分散した労働力やリムーバブルメディアの使用に関連するリスクを軽減します。
WinZip Enterprise は、フェイルセーフなセキュリティ対策を実現するだけでなく、強制力のあるセキュリティ制御、ログ機能、FIPS 準拠の暗号化で IT チームを強化し、進化し続けるサイバー脅威の状況がもたらす多面的な課題に対する包括的なセキュリティ層を提供します。
定番の圧縮解凍から PDF 編集、バックアップまで
無料21日間トライアル実施中
個人はコチラから
法人はコチラから