2025年にはすでに3億件以上のビジネス記録がダークウェブに流出しています。あらゆる業界のあらゆる規模の組織が影響を受けており、脅威は増大する一方です。データ保護は費用対効果が高く信頼できるソリューションですが、効果的に実装するには目的に合わせたアプローチが必要です。

データを最善の方法で保護するために組織が知っておくべきことは以下の通りです。

What is data protection?

すべての組織はデータ侵害やサイバー攻撃に対して脆弱です。データ保護とは、クラウドプラットフォームやデバイスに保管済み(保存)されたデータを保護するために組織が取るアプローチのことを指します。

万能な戦略はなく、多くの適切なツールやアプローチが利用可能です。具体的な行動に焦点を当てる前に、まず以下の重要な分野を検討してください:

  • Access controls: Who can access data within your company and from which devices? How will your organization identify them, confirm their access level, and authorize access accordingly?
  • Compliance with external regulations such as GDPR and HIPAA: Is your organization’s data stored accordingly with regulations you’re legally required to follow? Is sensitive customer data processed and stored adequately?
  • バックアップと災害復旧:緊急事態の場合、主要システムとデータのバックアップは整っているか?組織はネットワークをセグメント化し、アクセスを取り消し、不正アクセスを識別することがどれほど容易に行えるか?
  • Incident response: Has your organization created a thorough incident response plan for how it will prepare for and respond to a cybersecurity incident or insider threats?

戦略のこれらの各側面は、組織がデータ侵害、ランサムウェア攻撃、またはデータの持ち出しにどれだけ適切に対応できるかを左右します。これらの各分野をカバーすることで、収集からストレージ、処理に至るまで、データライフサイクルのすべての段階をプランで確実に考慮できます。

How to put data protection best practices in place

使用すべき明確な枠組みができたので、組織の特定のニーズを満たすデータ保護戦略を具体化し始めることができます。

データのカタログ化と分類

どこに保管されているか、どのように分類されているかを理解していなければ、データを保護することは困難です。アプリ、ドライブ、クラウドストレージ、デバイスなど、ビジネスネットワーク内のどこに何が保管されているかを特定したら、データを以下のバケットに分類できます:

  • タイプ
  • 価値
  • リスク露出度
  • 規制要件(該当する場合)

価値の高さや必要なガバナンスレベルの観点からデータを理解できれば、最も機密性が高く価値のあるデータの保護を優先する枠組みを構築することが容易になります。

堅牢なカタログ化と分類により、データ規制へのコンプライアンス維持がはるかに容易になり、コストのかかる侵害のリスクを軽減できます。適切な分類は報告も改善し、組織がデータからより多くの価値を引き出し、より良い分析を行うのに役立ちます。このステップは、潜在的なリスクを発見し、どのような保護対策を導入するかを決定し、データを整理しておくために不可欠です。

安全なツールの選択

適切なデータ保護ツールは、ビジネスデータを保護するだけでなく、すべてのチームメンバーにとってアクセス管理、認証、認可をシンプルにします。エンドツーエンド暗号化は、どのようなツールにとっても不可欠な機能です。なぜなら、それにより、お客様以外は誰もビジネスデータにアクセスできないことが保証されるからです。

  • パスワードマネージャー:安全なパスワードマネージャーは、ビジネスのパスワード、クレジットカード、メモ、ファイルを保管する理想的な場所です。この機密データはハッカーにとって価値があり、データ侵害やフィッシング攻撃が成功した後、ダークウェブに流出しやすいものです。管理者は、ビジネスネットワークへのすべてのログインを監視して簡単に概要を把握し、必要に応じてアクセスの付与や取り消しを行うことで、データに対するゼロトラスト原則の実装を支援できます。また、データがダークウェブに流出した場合、管理者に自動的に通知することも可能です。
  • VPN:組織は安全なVPNを使用して、プライベートゲートウェイを構成し、ネットワークセグメンテーションを実装できます。リモートワークや個人のデバイスからの作業では、公私のデータの境界が曖昧になりがちですが、VPNを使用することで、許可された個人とデバイスにのみアクセスが許可される安全な作業環境を作り出すことができます。機密データや地域制限のあるサービスを扱う場合、これは非常に価値があります。
  • クラウドストレージ:すべてのビジネスには、IP、顧客データ、財務データを保護するための安全なドライブが必要です。氏名、住所、健康情報などの機密データには厳格な保護が必要なため、保管場所としてエンドツーエンド暗号化されたドライブに依存することでビジネスを保護できます。ドキュメントの共同作業や共有は、どのようなドライブサービスにとっても不可欠な機能です。

安全なビジネスツール一式をお探しの場合は、ビジネスメール、ドライブ、VPN、パスワード管理、カレンダー、ドキュメントを提供するProton Business Suiteの14日間トライアルを開始できます。

ツールを使用するようになったら、定期的にデータとデバイスのバックアップを行ってください。これらは、主要システムへのアクセスを失った場合に大きな違いを生み、データ侵害による損害を軽減できる可能性があります。

安全なアクセス制御の実装

アクセス制御は、許可された個人のみがビジネスアプリ、サービス、デバイス、データにアクセスできるようにするものです。認証と認可は、従業員が誰であり、何にアクセスする必要があるかを確認するため、アクセス制御ポリシーにおいて大きな役割を果たします。許可されていない人物がビジネスネットワークにアクセスするのを防ぐには、単なるパスワード以上のものが必要です。

2要素認証(2FA)では、ログインするためにパスワードと2つ目の情報の両方が必要です。これは物理的なセキュリティキー、指紋、または安全な認証アプリによって生成されたコードなどです。この追加要素により、侵入しようとする者がネットワークにアクセスすることははるかに困難になります。なぜなら、その要素は許可されたユーザーに固有のものであるか、物理的に近い場所にあるものだからです。

権限は「知る必要性(need-to-know)」に基づいて付与されるべきです。すべてのチームメンバーにすべてのアプリやサービスへのアクセス権を与えるのではなく、IT管理者は各従業員がチームや役割で必要とする資産へのアクセス権のみを付与する必要があります。これは最小知識の原則として知られています。このアプローチにより、誰もアクセスする必要のないデータにはアクセスできないようにすることで、データを徹底的に保護します。

インシデント対応プランの作成

起きない侵害に備える方が、起きてしまった侵害への備えを怠るよりも優れています。インシデント対応プランは、組織が理論上の侵害に備え、その影響を最小化し、迅速に回復するのに役立ちます。万が一侵害が発生した場合でも、準備ができていれば安心です。

インシデント対応プランでは、サイバーインシデントの発生前、発生中、発生後に組織がどのように対応するかを検討する必要があります。これは、ベストプラクティスの実施責任者、潜在的なイベントの監視者、インシデントを封じ込める必要がある場合に行動する人物を定めるものであり、データを保護するための非常に重要なツールです。