WinZip – 会社のデータベースやその他のデータを保護するには

WinZip – 会社のデータベースやその他のデータを保護するには

企業のデータベースやデータ保存先には、企業にとって最も価値のある資産である情報が含まれています。この情報が漏洩した場合、組織の資産、財務、評判に悪影響を及ぼす可能性があります。

データ保護とは、情報の損失、妥協、破損のリスクを防止または低減するために、デジタル情報を保護する手段を指します。適切なツール、コントロール、プロセスは、企業のデータベースやその他の重要なデータ資産を不正アクセスやサイバー攻撃から保護するのに役立ちます。

企業データベースやその他の組織のデータを保護することは、サイバーセキュリティのためだけでなく、ビジネスの継続性を確保し、市場での競争力を維持するためにも重要です。

今回は、企業がデータ保護を行うことでどのようなメリットがあるのか、データ保護対策が不十分だとどのような影響があるのか、組織データや企業データベースを保護するためのさまざまな方法について紹介します。

企業データ保護の重要性

大きな企業では、大量のデータを収集、保存、管理しています。このデータの一部は構造化されており、整理され、ユーザーが簡単にアクセスできるようになっています。

しかし、企業データの80%は構造化されていないデータであり、構造化データの手順で分析・処理することはできません。文書から画像、ビデオ、オーディオストリームに至るまで、企業の構造化されていないデータにも、以下のような機密性の高い重要なビジネス情報も含まれています(ただし、これらに限定されるものではありません)。

  • 知的財産
  • 財務記録
  • カード会員データ
  • 第三者との契約

データベースはアクセス権で制御でき、IT管理者が管理できますが、非構造化データはセキュリティを確保するために利用できる制御があまりありません。

構造化されていないデータは、ユーザーが作成したコンテンツで、オンプレミス、クラウドベースのストレージシステム、またはクラウドベースのアプリケーションに保存されることがあります。そのため、構造化されていないデータのアクセス制御と管理は、内部のユーザーに委ねられています。

データの共有と管理に関連するリスクについて従業員が十分に学んでいない場合、従業員は会社のセキュリティ基準から外れて行動する可能性が高くなります。これは、シャドーITと呼ばれるもので、従業員がIT部門の認識や承認なしに、デバイスや技術を業務目的で使用することにつながります。

ユーザーがシャドーITアプリケーションにアクセスするたびに、データは未知の未承認の場所に保存されます。このような未承認のソリューションは、想像以上に一般的で、80%の従業員がIT部門の承認なしにアプリケーションを使用していることを認めています。

このようなデータ保護に関する意識の低さは、企業の情報セキュリティにとって最大の脅威であるヒューマンエラーを助長することになります。サイバー犯罪者は常に新しいアクセスポイントや攻撃経路を探し求めており、サイバーセキュリティの事故は蔓延しています。

過失サイバーセキュリティに対する意識の欠如アクセス制御の不備は、ヒューマンエラーに関連する重要な問題です。ヒューマンエラーの問題を解決するには、まずセキュリティリスクを理解し、適切なセキュリティコントロールを開発し、サイバーセキュリティリスクを軽減することから始めます。

包括的なビジネスデータ保護戦略を導入することは、組織がシステムの脆弱性を最小限に抑え、回避するのに役立ちます。効果的な保護戦略は、データ中心であり、規制要件を超えて、リアルタイムのセキュリティ脅威を考慮し、計画することです。

不適切なデータ保護がもたらすコスト

2021年、データ侵害やランサムウェア攻撃が急増し、数百万人の被害者の機密情報が危険にさらされました。2021年10月までにデータ侵害件数はすでに2020年の総件数を超えています。

ランサムウェアも記録的な攻撃量を記録し、2021年上半期のクラッキングの試行回数は3億470万回と報告されています。これに対し、2020年全体では、ランサムウェアの試行回数は3億460万回にとどまりました。

ある組織がひとつのランサムウェア攻撃を経験すると、そのすぐ後ろに次の攻撃が控えている可能性があります。以前、ランサムウェアの要求を支払った企業の80%が、2回目の攻撃で被害を受けたという報告もあります。

直接および間接的なコスト

データベースやデータが適切に保護されていない場合、企業の収益に影響を与える可能性のある直接的および間接的なコストが発生します。

直接コスト

サイバーセキュリティの事象の処理に関連するもので、次のようなものがあります。

  • 罰金
  • 調査費用
  • 影響を受けた当事者への払い戻し

間接コスト

データ侵害から回復するために費やされるリソースに関連するものです。例えば、業務上のダウンタイムは経済的損失につながります。

ITネットワークに影響を与えるダウンタイムは、1分あたり平均5,600ドルで、調査対象の企業組織の33%は、ITダウンタイムが1時間発生すると100万~500万ドルのコストがかかると回答しています。

風評被害もまた、不適切なデータ保護がもたらす間接的なコストです。顧客の忠誠心と信頼を失うと、人々がその悪い噂を広めることで、潜在的な顧客を失うリスクにも直面します。

インサイダーリスクは、あらゆる組織にとっての代表的な脆弱性です。2021年の調査では、94%の企業が昨年、内部者のデータ漏洩に見舞われたことが判明しました。これらのインシデントのほとんどは、ヒューマンエラーによって引き起こされました。

ヒューマンエラーは悪質ではありませんが、コストがかかります。ヒューマンエラーによるデータ侵害のコストは、1件あたり平均333万ドルです。米国では、2021年にデータ侵害が発生した場合、被害を受けた組織に平均424万ドルのコストがかかると言われています。この金額は、2019年の平均コストより10%増加しています。

業界特有のデータ保護に関する考慮

規制の厳しい業界で事業を行う組織は、コンプライアンス違反の罰金をより多く支払うことになります。例えば、ヘルスケア関連のデータ侵害は、この業界の厳しいデータプライバシー・ポリシーにより、他のデータ侵害よりもかなり高額になります。

米国では、医療保険の相互運用性と説明責任に関する法律(HIPAA)が、電子保護医療情報(ePHI)の使用とアクセスを規制しています。その規則と規制は、3つの主要な構成要素に基づいています。

  • プライバシー規則 この規則は、個人を特定できる健康情報(特定の個人にリンクできる情報)の保護を標準化するものです。
  • セキュリティ規則 この規則はePHIに特有のもので、ePHIの機密性、可用性、および完全性を保護するために必要な管理的、物理的、および技術的セーフガードを特定するものです。
  • 侵害通知規則 この規則では、安全が確保されていないPHIの侵害が発見された場合、組織はそれを報告し、影響を受ける個人、保健福祉省(HHS)、およびメディア(特定の状況において)に通知することを義務付けています。

2020年、Premera Blue Cross health plan は、1040万人分のePHIが流出したデータ侵害により、685万ドルのHIPAAペナルティを受けました。この罰金は、複数州の訴訟を解決するための1,000万ドルの和解金と、この医療保険会社に対する統合集団訴訟に起因する別の7,400万ドルの和解金に追加されたものです。

顧客の個人識別情報(PII)を含む違反は、他のデータセットよりも高額になります。2021年のすべてのデータタイプのレコードあたりの平均コストは161ドルであるのに対し、PIIを含むレコードあたりのコストは180ドルです。

情報漏洩自体のコスト増に加え、漏洩したPIIは高額な訴訟につながる可能性があります。例えば、約1500万人に影響を与えたデータ漏洩に起因する集団訴訟に
モルガン・スタンレーは直面
しました。

この銀行・金融サービス会社は、2022年に6,000万ドルの和解金に合意しました。この和解金は、データ保護の失敗に対して通貨監督庁(OCC)が課した6,000万ドルの罰金に追加されるものです。

企業の包括的なデータベース保護計画のメリット

包括的なデータ保護戦略は、組織の人材、プロセス、テクノロジーに関連する制御とポリシーを確立します。これは、組織のデータの完全性、可用性、機密性を保護するための多段階のプロセスです。

データベース保護計画は、次の3つの主要な目標に基づいています。

  • データ安全性 悪意や偶発的なダメージからデータを保護するための制御、ポリシー、手順。
  • データ可用性 冗長性とバックアップによってデータを利用可能にし、損傷や紛失後の迅速な復旧を可能にするプロセス。
  • アクセス制御 データへのアクセスを必要な人だけに制限する手段。

データベース保護計画の最も重要な要素には、以下のようなものがあります。

1.アクセス制御設定

アクセス制御により、必要な業務に基づいて、データやリソースへのアクセスを制限します。これにより、不正なアクセスを防止し、業務遂行に必要なアクセス権を確保することができます。

アクセス要件は、ユーザーの職務に必要なものに基づいてアクセス権を付与する最小特権の原則(POLP)に従う必要があります。また、アクセス制御を定期的に見直し、不要な権限を特定し修正することも重要です。

2.エンドポイントの安全性

企業ネットワークに接続するエンドポイントは、特にサイバー攻撃や情報漏えいの被害を受けやすいものです。ノートパソコンからスマートフォン、ワークステーション、サーバー、その他のネットワークアクセス経路に至るまで、エンドポイントセキュリティは、組織データの紛失や盗難を防止するために必要です。

エンドポイントの保護は、ネットワークリソースに接続するすべてのデバイスを特定することから始まります。そして、ウイルス対策ソフトウェア、データの暗号化、ファイアウォール、アプリケーションとアクセスの制御を使用して、デバイスを保護する必要があります。

3.セキュリティ手続きに関するユーザー教育

従業員が自分の行動(または不作為)がサイバーセキュリティにどのような影響を与えるかについて十分な情報を持っていない場合、ヒューマンエラーのリスクが高まります。パスワードの再利用アプリケーションの未更新など、従業員が不注意から悪意のあるサイバー行為を引き起こす可能性はいくつもあります。

組織のデータとデータベースを保護するためのベストプラクティスについて、従業員に次のような教育が必要です。

  • 多要素認証の導入
  • ソフトウェアのアップデートやパッチが利用可能になったらインストール
  • 送信元不明の添付ファイル付きメールなど、疑わしい行為を特定し報告

4.ファイルの暗号化

ファイルレベルの暗号化は、許可されたユーザーのアクセスを制限し、正しいパスワードまたは暗号化キーがなければ復号化することができません。データを読み取ることができなければ、悪意のある行為者は盗んだデータを解読することができません。

暗号化によって、いくつかの方法で組織のデータを保護することができます。

リムーバブルストレージメディア USBメモリー、メモリーカード、その他のポータブルデバイスに保存されたデータを暗号化すると、デバイスが盗まれたり紛失したりしても、不正なアクセスを防ぐことができます。

ファイル転送 安全が確保されていないネットワークやワイヤレスネットワークでは、機密データが悪意のある人物にさらされる可能性があります。暗号化されたファイルは、様々なユーザー、デバイス、ネットワーク間を移動しても保護されます。

バックアップ バックアップは、紛失、破損、盗難にあったデータの復元を可能にします。バックアップデータを暗号化することで、さらに保護層が増え、許可されたユーザのみがファイルにアクセスできるようになります。

WinZip® Enterpriseのようなソリューションは、企業のデータベースや組織のデータを安全に管理し、保護するためのエンタープライズクラスのツールの完全にカスタマイズ可能なセットを提供します。エンドツーエンドのデータ保護で安全なファイル共有とコラボレーションのための軍用レベルの暗号化を備えています。

WinZip Enterpriseにより、IT管理者はデータ環境を完全にコントロールし、ファイルのセキュリティ、共有、バックアップに関連するポリシーの実装と実施を容易にすることができます。

組織内でデータ保護を可能にするWinZip Enterpriseの利点をご確認ください。

また、無料の事前検証にお申し込みください。

この記事は、How to Protect Your Company’s Databases and Other Organizational Data | February 17, 2022 を翻訳したものです。

Share this post