1990年代後半には、従業員が自分のデスクトップコンピューターを使用して、自宅から企業ネットワークにダイヤルイン接続することが不安視されていました。何千もの記事や数百ものカンファレンスセッションでは、そのような行動にまつわるリスクについて議論されました。また、文書化されたポリシーや新しいツールを使用して、どのようにリスクを低減できるかが論じられました。
2000年になると、会社支給のコンピューターの代わりに、自前のノートPCをオフィス外や出先で使用する従業員に対し、同様の懸念が広がりました。さらに、何千もの記事や数百ものカンファレンスセッションで、そのリスクに対処する方法が話し合われました。
それから数年経って、スマートフォンが広く利用されるようになり、そのリスクを扱う記事やカンファレンスもさらに増えました。そして間もなく、従業員たちは、1台のみならず、複数のスマートフォン、タブレット、ノートPC、ウェアラブルデバイスを、個人の目的だけでなく、仕事にも使用するようになりました。
従業員が職場やビジネスで使用する新しいテクノロジーの種類は今後も飛躍的に増え続けていきます。そして、それらのデバイス上では、従業員の個人用データとビジネス用データがさらに混ざり合っていくでしょう。企業は、このようなハイテク機器を使用する従業員にどのように対応できるでしょうか。ビジネスデータと個人用データをどのように分離することができるでしょう。そもそも分離することなどできるのでしょうか?
従業員が接続する方法はますます複雑化しています。たとえば、
- インターネット接続
- 他の個人との直接接続
- モバイルデバイスからの電波や、前を通った人物の映像を受動的に収集するWi-Fi対応のデバイス
- モバイルデータを使用して大量のデータの盗み出しを行う無数の人物
- 現在増加中の「スマートな」IoTデバイス。生成されたデータを自動的に取り出し、他者に無制限に配布する
従業員たちが、企業ネットワークや企業の施設、あるいは管理者の視界から離れ、リモートで仕事をするケースが増えているために、彼らがアクセスするあらゆるビジネスデータへのリスクが急激に高まっていることから、事態は複雑化しています。
従業員たちが、何も疑問を抱かずに、デフォルト状態のまま使用している新しいデバイスや技術のために、セキュリティリスクと企業の攻撃対象領域が拡大しています。
それでは、私たちはまず何をすべきでしょうか。
1.リスクを特定する
詳細なリスク評価を行い、まずは以下の問いへの答えを見つけましょう。従業員はどのようなタイプのデバイスを使用しているか?それらのデバイスの何台が会社所有、従業員所有、あるいはそれ以外の所有者のものか?
- 仕事中に使用するのはどのデバイスか?
- どのデバイスがデータの収集を行うか?
- どのデバイスにビジネスの情報が格納されているか?
- デバイス上でどのようなモバイルアプリが使用されているか?それらは何のデータを収集しているか。また、それらを誰に送信あるいは誰と共有しているか?
- デバイスはどの場所のどのような環境で使用されているか?
- それらの場所では、どのようなセキュリティコントロールが使用されているか?
- そのすべてのデータにアクセスできるのは誰か?
- それらのデバイスからデータをどのように削除できるか?
- さまざまなタイプのデバイスの使用について、従業員はどのようなトレーニングやセキュリティ意識向上のための教育を受けているか?
- 仕事の開始時に、従業員はどのような機密保持契約書に署名しているか?
- 雇用を離れるときに従業員は何をする必要があるか?
このリストのチェックが完了したら、深く掘り下げたリスク評価を行い、軽減する必要のあるリスクやギャップがないか確認します。あるいは、もしツールを既に持っていて、以下に挙げたアクションを実行している場合は、すぐに深く掘り下げたリスク評価を行いましょう。
2.セキュリティおよびプライバシーポリシー、手順を文書化する
次に、特定したリスクを許容できるレベルまで軽減するために、セキュリティおよびプライバシーポリシーを文書化する必要があります。そこには、ビジネスに影響を与える可能性のある、従業員が使用するすべてのタイプのデバイスに対するルールを盛り込みます。さらに、それらのポリシーをサポートするための手順を文書化します。
文書化されていないポリシーと手順は、存在しないに等しいことを忘れないでください。少なくとも、御社の情報セキュリティおよびプライバシープログラムのレビューを行う顧客、取締り機関、監査員はそのように考えます。従業員が自分のデバイスをさまざまな場所で使用することで生じる問題に対するポリシーや手順も盛り込む必要があります。
- 従業員の雇用開始時に、守秘義務および秘密保持契約書に署名させること。
- 従業員が退職するときに、デバイスからデータを返却させること。
- 業務中に使用して良い/使用してはいけないテクノロジーを明記すること。
- ビジネス環境で使用される顧客、従業員、患者などの個人情報を含む業務情報を、どこに投稿、共有、保存してよいか(あるいは、してはいけないか)についての要件を明記すること。
- データの不当な利用を禁じる法的義務を確認させるために、従業員の退職の手引きを作成する。そのうえで、退職予定の従業員が業務上知り得た情報を使用して行ってはいけないこと、およびそのような情報を入手して別の場所で使用することに関する法律上の問題を、彼らが理解できるようにすること。
- 自身のデバイスを場所の制限なく使用する従業員に、セキュリティおよびプライバシー要件に関するトレーニングを受けさせること。
3.ポリシーと手順をサポートするツールを特定する
さまざまなツールを検討します。以下にその一部を紹介します。
- 保存中、送信中、収集中のデータの暗号化を行うツール。
- 業務、顧客、従業員、患者などの組織に関係するデータを追跡するデータロギングツール。
- 元従業員のデバイス内や、盗難・紛失したデバイス内のデータをリモートから削除するツール。
- 全てのタイプのデバイスに必要なファイアウォールおよびアンチマルウェアツール。
- 定期的なプライバシー影響評価(PIA)、リスク評価、監査を行うツール。
4.要求事項に関するトレーニングを実施する
効果的なトレーニングが行われなければ、従業員は何をすべきかがわかりません。効果的なトレーニングを実施することが重要です。従業員にただ文書を読むよう指示しただけでは、トレーニングにはなりません。効果的なトレーニングを実施する方法は、数多くあります。
5.時折、セキュリティに意識を向けるよう働きかける
トレーニングから時間が経つにつれ、従業員たちはデータのセキュリティや、個人情報の保護について考えが及ばなくなります。データとプライバシーを保護しながら業務を行う必要性を従業員が忘れないように、頻繁にコミュニケーションを図る必要があります。情報セキュリティと機密情報の保護に常に意識を向けさせるための方法は数多くあります。
6.コンプライアンスを監視する
デバイスの使用方法に関するルールと、個人データとビジネスデータを管理する方法を確立したら、それらのルールの効果を確認する必要があります。ルールを作れば、皆が従ってくれるだろうと考えてはいけません。ルールに従わないことを選ぶ人もいるでしょう。ルールを理解していない人、ルールに気づいていない人、ルールを忘れてしまう人、ルールを知っていても間違った行動を取る人もいます。そのような従業員は、インシデントを発生させ、ビジネス情報の流出までも引き起こすことになるでしょう。従業員が自分のデバイスをさまざまな場所で使用する際のポリシーおよび手順の効果を、よく監視しなければなりません。
まとめ
企業は、広範なテクノロジーやデバイスの使用に関する最新の傾向に基づいて、現在のリスクと新しいリスクを常に把握していく必要があります。また、そのようなテクノロジーの使用に関するルールが文書化され、実践されていることを確認しなければなりません。
執筆者について:システムエンジニアリング、情報セキュリティ、プライバシー&コンプライアンスに関する25年以上の経験を持つRebeccaは、2004年に自らが立ち上げたコンサルティング会社「The Privacy Professor®」のCEOです。また、2014年に共同設立した情報セキュリティ、プライバシー&コンプライアンスをクラウドで提供する「SIMBUS, LLC」のプレジデントでもあります。Rebeccaは、SIMBUSのアーキテクチャーおよびその関連サービスの設計と開発を行いました。これには、従業員や請負業者向けの情報セキュリティおよびプライバシーに関するオンライントレーニング、ベンダー管理、リスク管理評価、ポリシーと手順、プログラム管理タスク、侵害対応、監査マネジメント、従業員管理、インベントリー管理が含まれます。 彼女は、19冊の書籍の著者であり、プライバシーに関する最近の2冊、『ISACA Privacy Principles and Program Management Guide』および『Implementing a Privacy Protection Program: Using COBIT 5 Enablers With the ISACA Privacy Principles』は、2017年にISACAから発行されたものです。他の数十もの本・雑誌にも、数百もの記事を寄稿しています。
Rebeccaは、米国国立標準技術研究所(NIST)のスマートグリッドプライバシーサブグループを7年間に渡って率い、NIST初の電気グリッドサイバーセキュリティのOpenFMBテストを実施しました。また、IEEE P1912 Privacy and Security Architecture for Consumer Wireless Devicesワーキンググループの共同創始者であり役員を務めました。数多くの諮問委員会にも参加し、NIST Privacy Frameworkワーキンググループのメンバーでもあります。さらに、朝のテレビ番組「KCWI 23」に定期的に出演するとともに、Voice Americaのラジオショー「Data Security & Privacy with the Privacy Professor」では毎週ホストを務めており、さまざまな本・雑誌で彼女の言葉が引用されています。情報セキュリティ、プライバシー、コンプライアンス分野のエキスパートウィットネス(専門家証人)も務めた経験があります。 数学、コンピューターサイエンス、教育の学位と以下の資格を保持しています。CISM、CISA、FIP、CIPT、CIPM、CIPP/US、CISSP、FLMIPonemon Instituteの特別研究員でもある彼女は、アイオワ州デモインを拠点に活動しています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
