データ保護: セキュリティ対応を改善...3 データ保護 id...
TRANSCRIPT
データ保護:セキュリティ対応を改善する 7 つの方法
エンタープライズ モビリティ、職場で利用される大量の デバイス、SaaS アプリ、そしてクラウドが企業の運営方 法に変化をもたらしていることは疑う余地がありません。
企業では、機敏性の実現、パフォーマンスの向上、意思決定の指針獲得のためにコ ラボレーションとモビリティを活用しています。特に、モバイル デバイスとアプリケーションは高い生産性の維持に欠かせない強力なツールです。しかし、モバイル デバイスの台数が増え、アプリのホスティングが自社ネットワークからパブリックまたはドメイン外ネットワークに移行し、従来のようなビジネスの境界が消失すると、企業におけるセキュリティやコンプライアンス違反のリスクが増大します。 たとえば、マルチ ログイン、管理されていないまったく異なる場所へのデータの格納、保護が不十分な状況での情報共有は、脆弱性を高め、競合企業による機密情報の盗み出し、重要なデータの漏えいや破壊などのデータ損失リスクが増大する原因になります。すると、次の疑問が浮上します。
重要なデータを保護しながら、従業員が希望するモビリティと生産性を提供できるだろうか?
機敏性向上のための新しいアプリケーションやシステムを使用することを事業グループに許可してよいだろうか?
こ の 電 子 書 籍 で は 、 多 く の 企 業 が 直 面 し て い る デ ー タ 保 護 に 関 す る 一 般的な 7 つの懸念事項と、それらの脅威を軽減する方法について解説します。これは、Microsoft が公開するセキュリティに関する一連の電子書籍の第 1 弾です。
ID およびアクセス管理による脅威の軽減
モバイル デバイスとモバイル アプリの管理
条件付きアクセスの活用
エンタープライズ データ保護の強化
データ損失の防止
セキュリティ上安全な共同作業の実現
悪意のあるコードの停止
セキュリティ対応を改善する 7 つの方法
3 データ保護
ID およびアクセス管理による脅威の軽減
ID とアクセス管理はリスクの軽減に有効です。• 単一の ID でクラウドおよびオンプレミス リソースにアクセスでき、複数の資格情報が不
要になります。• 各従業員のアクセス権を、業務の実施に必要な範囲に限定します。• 従業員の役割が変更になった場合、従業員が退職した場合、または特定の共有情
報にアクセスする必要がなくなった場合、アクセス権を破棄します。• リスクのある行為が想定される場合は、二要素認証を適用します。
周知のとおり、企業データ センターとパブリック クラウド プラットフォーム全体にわたってアプリケーションを管理することは大きな課題です。従業員は、さまざまな場所からさまざまなデ バイスでデータ リソースにアクセスすることを望んでいます。ネットワークに接続し、時間と共に変化するさまざまなリソースにアクセスする必要があります。さらに、企業リソースにアクセスして、社外で作業を完了することを希望する場合もあります。
意図しない機密データの漏えいやソーシャル ネットワークでの資格情報の開示など、残念ながら多くの場合、セキュリティ上の弱点は従業員が作り出しています。外部の攻撃者が、そのような資格情報を使ってネットワークにアクセスし、顧客情報、知的財産、他の機密データを盗むおそれがあります。また、社内での違反行為によって、データが公開されて危険にさらされる可能性もあります。どのアプリケーションを、いつ、だれが、どこからアクセスしたかを確実に管理するにはどうすればよいでしょうか?
• 80% を超える従業員は承認を受けていない SaaS (サービスとしてのソフトウェア) アプリケーションを仕事に利用していると認めています1
1 出典: 『The hidden truth behind shadow IT – six trends
impacting your security posture』(Frost & Sullivan)
詳細情報:• ID とアクセス管理
4 データ保護
基本からはじめましょう。 • ユーザーのワークフローを妨げず、簡単かつ自然に順守できる対策でなければなりま
せん。• IT 部門が従業員のデバイスに対して何をしているのかを従業員に開示する必要があ
ります。• 企業データのみを保護します。
デバイスの盗難、紛失、放置は、データが無防備になり、データを十分に保護できない状 況を招きます。また、企業データが個人のアプリケーションに漏えいし、悪意を持った人の手に渡る可能性が生じた場合も大きな脆弱性になります。BYOD の普及が進む現在、従業員の生産性を損なわずに、データを保護するにはどうすればよいでしょうか?
BYOD (個人所有デバイスの持ち込み) が広がり、SaaS アプリケーションの利用が増える につれて、セキュリティ上の懸念が拡大しています。企業では、SaaS アプリケーションに大き く依存する割合が増え、一部の重要なデータはパブリック クラウドに置かれていますが、そのために大きなリスクにさらされています。IT 部門による現在の基準ではそのようなデータを管理できません。
モバイル デバイスとモバイル アプリの管理
• 17 か国のインフォメーション ワーカーのおよそ 52% が仕事に 4 台以上のデバイスを使用しています1
1 出典: 『Employee devices bring added security concerns』、
Cindy Bates (Microsoft US Small and Midsize Business Blog)
詳細情報:• Microsoft Intune
5 データ保護
条件付きアクセスの活用
条件付きアクセスは、ユーザーの ID またはデバイスのヘルス状態に基づいて、企業リソースへのアクセスに制限を設けるものです。また、場所とアプリケーション データのセキュリティに基づいて、ポリシーが適用されます。
たとえば、喫茶店から顧客関係管理 (CRM) アプリケーションにアクセスする場合、ユーザーの場所と CRM システムの機密データを考慮して、多要素認証が必要です。もう 1 つの例は電子メールです。企業電子メールにアクセスするには、デバイスが暗号化や PIN などのポリシーを順守している必要があります。
次のステップ• モバイル デバイスのアクセス ポリシーを策定します。デバイスの完全な管理または、企
業電子メールにアクセスする Outlook などのアプリケーションのみの管理を求めることができます。
• 動的グループを活用し、役割に基づいて必要なアプリケーションへのアクセス権を従業員に与えます。
• 多要素認証を適用します。多要素認証では、ユーザーに 2 つの方法で認証を要求することにより、保護レイヤーを追加します。1 つ目の方法では、従来からのユーザー名とパスワードの組み合わせを使用できます。2 つ目の方法では、通常、複製することが事実上不可能な物理コンポーネントを使用します。これには、カード キーを読み取り装置に通して PIN を入力する、Web サイトにログインしてワンタイム パスワードを使用する、デジタル証明書を使用する VPN クライアントを経由してログインする、ユー ザーの指紋をスキャンするなどの方法があります。
詳細情報:• Azure Active Directory の条件付きアク
セス• 条件付きアクセスの概要• Microsoft Intune による条件付きア
クセス• Office 365 での Microsoft Intune の
条件付きアクセスの利用 • Windows 10
6 データ保護
開始するには: • エンタープライズ環境で EDP を有効にします。不要な変更を行うことなく、アプリやデー
タを管理し、規制することができます。
従業員に個人所有のデバイスの使用を許可すると、電子メール、ソーシャル メディア、クラウドなどのアプリやサービスを介した意図しないデータ漏えいのリスクが高まります。これらは会社による管理の範囲外にあります。たとえば、従業員が、個人の電子メール アカウントから最新の設計図を送信したり、情報をコピーしてソーシャル メディアに貼り付けたり、進捗状況レポートを個人のクラウド ストレージに保存したりするおそれがあります。個人デバイスの使用を許可し、その一方でデータのセキュリティ侵害を避ける必要があります。これらを両立するには、どうすればよいでしょうか?
エンタープライズ データ保護 (EDP) は、従業員のエクスペリエンスを維持しながら、許可され ていないアプリや場所への潜在的なデータ漏えいを防ぐ効果があります。
エンタープライズ データ保護の強化
詳細については、以下を参照してください。• Windows 10 のエンタープライズ データ
保護• BitLocker の概要• Microsoft Intune
7 データ保護
データ損失の防止
漏えいの可能性を減らすことから始めます。• エコシステムにあるデータ損失防止 (DLP) 機能についての理解を深め、データの保存
場所で、データが移動および共有される際にデータを保護します。たとえば、電子メールの配信範囲を組織内に制限できます。また、電子メールにデジタル権限管理資格を付与して、その電子メールを開ける人を限定します。
• DLP を電子メール以外にも拡張します。特定のワード プロセッサ、表計算、プレゼン テーション プログラムにもアクセス制限オプションがあり、権限のないユーザーがドキュメントを開くのを防ぐことができます。
人はミスを犯すものですが、ときにその代償が非常に高くつくこともよくわかっています。 電子メールを介したドキュメント共有は、従業員の重要な生産性向上ツールであり、セキュリティ担当者は難題に直面します。機密情報を危険にさらすことなく、従業員が電子メールでファイルを共有するのを許可するにはどうすればよいでしょうか?
詳細については、以下を参照してください。• Office 365 のデータ損失防止 (DLP)
• Microsoft Office 365
8 データ保護
セキュリティ上安全な共同作業の実現
従業員のニーズを満たし、柔軟で使いやすく安全なソリューションを提供します。• 情報を共有するための安全なツールを構築し、従業員のアクセス権を適切に付与し
ます。これを実現するには、SharePoint などの安全なドキュメント共有ソリューション、アクセス制限のあるネットワーク共有、クラウド ベースのソリューションが有効です。
• 機密資料を電子メールで送信するときは、デジタル権限管理または他の安全な電子メール ソリューションを必ず使用します。
• 簡単で安全な情報共有ワークフローを提供し、社内と社外のコラボレーションを可能にします。
情報の共有については、セキュリティよりも利便性がしばしば優先されるため、セキュリティ担当者の悪夢が現実になるおそれがあります。従業員が情報共有の方法に手を加え、データを危険にさらしたり、重要な企業データを失うリスクが生じたりする可能性があります。情報漏えいのリスクを抑制しつつ、従業員に協力を促すにはどうすればよいでしょうか?
詳細情報:• Azure Rights Management
• 保護されたファイルの共有• 暗号化された電子メールの送信• Microsoft Office 365
• SharePoint
• Microsoft Azure
マルウェア感染は、多くの場合、ユーザーのミスが原因で発生します。フィッシングやスプーフィングの手法は非常に巧妙化しています。信頼のあるブランドからの偽の電子メールでユーザーを騙し、偽のニュース記事で誘い込み、ユーザーを信用させて、攻撃が仕掛けられた無害に見えるアプリをダウンロードさせます。ユーザーが個人のデバイスを使用する場合、Web の閲覧、ソーシャル メディアの利用、個人的な電子メールへのアクセスをやめさせることはできません。このような日常的なタスクをもっと安全に行ってもらうには、どうすればよいでしょうか?
教育が最初の対策です。• マルウェア攻撃の一般的な手法を詳しく説明する基本的なガイダンスを読むか研修を
受けることを従業員に求めます。• 電子メール内の URL は、適切で正確かつ本物であることを入念に確認します。• 信頼できるソースからダウンロードしたアプリのみを使用するよう従業員に推奨します。
9 データ保護
悪意のあるコードの停止
詳細情報:• Windows 10
• Windows Defender
• Windows Device Guard
• Microsoft Office 365
© 2016 Microsoft Corporation. All rights reserved. この文書は情報提供のみを目的としています。 Microsoft は、この文書に記載した情報について、明示的か黙示的かにかかわらず、一切保証を行いません。
従業員にモバイル技術の利用を許可しても、それがデータをセキュリティ上の危険にさらすことに直結するわけではありません。適切に計画を立て、正しいツールを準備し、従業員教育を実施することにより、リスクを軽減しつつ、いつでもどこからでも作業できる自由を従業員に提供できます。
サイバーセキュリティの詳細情報
以上の 7 つの分野に重点を置き、 組織のセキュリティ向上に取り組んでください