データセキュリティはチーム競技

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第55回目となる今回は、「データセキュリティはチーム競技」と題して、公共部門のセキュリティリーダーが、機密性の高い情報の安全確保の重要性をどのように伝えているのか、組織内でデータセキュリティの責任の共有する文化を構築しているのかを紹介する、Varonisで米国連邦政府のお客様を担当するMatt Christensenのブログ記事をご紹介します。

私の母は、従兄弟や孫など、家族のために休日の夕食を準備する際に、いつも「村全体の協力が必要だ」と言います。しかし、食べ物がなくなり、笑い声が消えると、後片付け担当は彼女です。

包括的なデータセキュリティ戦略の実装の話をすると、その休日の夕食後の片付けを思い出してしまいます—これは一人の担当者に任せられてしまうチーム作業なのです。バスケットボールの試合と同じように、勝利のためにはほぼすべての選手にパスを出さなければなりません。データセキュリティの責任は、チーム競技であるべきです。

このブログでは、公共部門のセキュリティリーダーが、機密性の高い情報の安全確保の重要性をどのように伝えているのか、組織内でデータセキュリティの責任を共有する文化を構築しているのかを紹介します。

データセキュリティを取り巻く環境の進化

従来は、IT部門とセキュリティ分析担当者がデータセキュリティの責任を担ってきました。しかし、データを標的とする敵の数が非常に多く、担当部門がリソース不足に直面していることから、分析担当者は手一杯となり、境界を維持することだけに注力しています。

生成AIの台頭、クラウドの急速な拡大、新たな脅威の出現、コラボレーションの増加などから、データセキュリティは全員の責任でなければなりません。休日の盛大な宴会の後片付けや、バスケットボールの得点を決めるのと同様、強力なデータセキュリティ態勢を構築するためにはまさにチームワークが必要です。

米国連邦政府機関はセキュリティを促進する必要性を認識しており、「Federal Zero Trust Data Security Guide」などの最近の出版物では、効果的なデータ保護を実現するためには複数の部門からの賛同が必要であることが強調されています。このガイダンスは、ITとサイバーセキュリティ全体にわたる戦略の不連続性を引き起こしている、多くが独立して運営されている30以上の米国連邦政府の省庁、機関、局、団体のCDO（最高データ責任者）、CISO（最高情報セキュリティ責任者）、プライバシー担当上級職員や代表者によって作成されているため、それ自体が重要です。

強力なデータセキュリティ態勢の舵取りを行う中核リーダーであるCISO、CIO（最高情報責任者）、プライバシー責任者は、サイバーセキュリティ、インフラストラクチャー、プラットフォーム所有者、プライバシー、法務、クラウドなど、主要な関係者が、組織全体にデータセキュリティを実装できるようにする必要があります。

試験導入による実証

政府機関は、通常、本番環境に移行する前の市場調査プロセスの一環として製品を試験導入しします。これにより、利害関係者全員が、決定を下す前に、ソフトウェアの選択について足並みを揃えることができます。

2022年1月以降、CDOには、覚書M-22-09の要件を満たすことが義務づけられ、機密性の高いデータの目録（インベントリー）作成、共有の自動監視、ログ記録などが求められています。

Varonisは、さまざまな試験導入プログラムを通じて、これらの要件を満たすことを目指すCDOと協力してきましたが、その多くでは、組織内の他の部門からの支援が不足しているために完全な運用能力に到達できていません。すべての部門間で知識を共有することにより、試験導入の成功率を高め、すべての従業員がデータ保護における自分の役割を理解する文化を醸成することができます。

別の事例：米国連邦政府の民間部門で働くプライバシー部門や法務部門のおお区は、CUI (Controlled Unclassified Information) と呼ばれる興味深いデータセットを扱っています。エネルギー省などの多くの機関は、CUIの保護について独自のルールを持っています。さらに、ほとんどの研究施設や拠点には、通常、プライバシー部門に所属するCUI調整官がいます。

CUIの発見と保護のための試験導入の場合、プライバシー部門と法務部門が早い段階で目標を定義する責任を負い、サイバー部門とIT部門が目的の達成を支援する必要があります。この役割分担により、法務部門が「何を」実施するかを、サイバー部門が「どのように」実施するかを決定し、効率性が確保されます。適切に構築されたガバナンスは、機密性の高いデータの保護のための試験導入を成功に導きます。

コラボレーションの文化を醸成している組織は、敵対的な脅威からミッションクリティカルなデータを保護する上で、最も適した立場にあります。真のデータセキュリティとは、コンプライアンス、フォレンジック、UEBA（ユーザーとエンティティーの振る舞い分析）と修正を組み合わせたものです。チェックボックスにチェックを入れるのではなく、どの部品も他の部品と結びついて、成果に繋がっています。

組織内でデータセキュリティの責任の共有を促進する方法

では、組織全体がデータセキュリティを優先するためには、どんなアプローチが最善でしょうか？

私が最初にお勧めするのは、経営幹部が模範を示すことです。経営幹部が気に掛けていれば、他の人たちも自然と気に掛けるようになります。各部門にデータセキュリティの推進役を任命することも、従業員が自分の役割に関連するデータの取り扱いに責任を持つようにするための優れた方法です。

データセキュリティのベストプラクティスは、追跡と特定が容易で、従業員が回避しづらいものでなければなりません。部門の推進役は、同僚が次のような基本的なベストプラクティスに従っているかどうかを確認できます：

1.    潜在的な脅威の積極的な報告の奨励：従業員は、問題に巻き込まれることを恐れ、データセキュリティの問題を発見しても、報告することを躊躇することがあります。匿名報告チャンネル、セキュリティホットライン、統合報告ツールなどを通じて、各部門が潜在的なリスクを報告できるオープンドアポリシーを構築します。

2.    フィッシングに対する意識の向上：フィッシングメールなどのソーシャルエンジニアリング戦術は、脅威が環境へのアクセス権を入手しようとする一般的な手段であり、その手口はますます巧妙になっています。フィッシングの兆候に注意するよう組織を教育します。フィッシングのシミュレーションを作成することも、従業員が何に気をつけるべきかを知るのに役立つ優れた訓練です。

3.    MFAの有効化：多要素認証（MFA）は、脅威による不正アクセスを減らし、脅威の環境への侵入を困難にします。従業員自身が可能な限りMFAを有効にするか、IT部門がMFAを必須にすることを強くする推奨します。

4.    特定の役職に関連するリスクを浮き彫りにする：フィッシング戦術を特定の役職に特化させることは、従業員がフィッシングを見破るのに苦労する理由の一つです。例えば、CEOから金銭を要求する緊急のテキストメッセージを受け取った場合、マーケティング部門のメンバーは、毎日やり取りしているわけではないので、すぐに対応して支援しなければならないと考えてしまうかも知れませんが、役員秘書は、送信者のアドレスや電話番号が異なることに気付くでしょう。特定な状況を各部門に示すことにより、それが組織全体にリスクに晒すことを理解して貰います。

弊社のブログ記事で、サイバーセキュリティ意識向上のヒントを見つけてください。

Varonisがお手伝いしましょう

セキュリティを孤立した部門から、共有された、組織全体のミッションに移行することにより、長期的な回復力とコンプライアンスを確実にすることができます。データ保護は全員の責任であることを従業員が理解すれば、セキュリティは後回しにされることなく、自然なものになります。

Varonisは、どこにデータがあろうと保護します。Varonisのプラットフォームは、データの中身と背景を深く見ることを目的として設計されており、そして、特許を取得した、百戦錬磨の機械学習を使用して保護を自動化します。

Varonisは、米国の主要な連邦政府機関が攻撃表面を最小限に抑え、コンプライアンスを簡素化し、自動化により内部者脅威やランサムウェアなどのサイバー攻撃から防御し、データ流出を防止できるように支援しています。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/data-security-is-a-team-sport

・当コラム第8回「組織における責任共有モデルの理解と適用」
https://www.innovations-i.com/column/data-security/8.html

・Federal Zero Trust Data Security Guide（英文）
https://www.cio.gov/assets/files/Zero-Trust-Data-Security-Guide_Oct24-Final.pdf

・覚書 Memorandum M-22-09（英文）
https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf

・New - DOE O 471.7, Controlled Unclassified Information（英文）
https://www.directives.doe.gov/news/new-doe-o-471-7-controlled-unclassified-information

・当コラム第38回「サイバーセキュリティ啓発のヒント10選：積極的な安全確保」
https://www.innovations-i.com/column/data-security/38.html

ブログ記事著者について

Matt Christensen

Matt Christensenは、米国連邦政府の請け負う業者と民間機関がその環境の安全を確保できるよう支援するサイバーセキュリティの専門家です。10年近くの経験を持つ彼は、コンプライアンスの遵守とセキュリティ態勢の強化に向け、戦略的でソリューション指向のアプローチをVaronisにもたらしています。

（翻訳：跡部 靖夫）