静止している物体と運動している物体に関するニュートンの法則について聞いたことがあるでしょう。 21 世紀では、機密情報がネットワーク上に保管されているときは保護し、移動中は効果的な保護手段を実装する必要があります。たとえば、顧客が機密データを自分のコンピュータからシステムに転送するときなどです。慎重な企業は、「Start with Security」のアドバイスを受け入れ、機密の個人情報を安全に保管し、送信中に保護します。
ある戦略は驚くほどシンプルです。ハッカーはあなたが持っていないものを盗むことはできないので、必要な場合にのみ機密データを収集して維持してください。いつか何かに使用するかもしれない機密情報を顧客に尋ねるのは、健全なポリシーとは言えません。より賢明な方法は、収集するものを賢明に制限し、安全に保管することです。また、社内全体に大量の機密データを散在させるよりも、指定された場所に保存された少量のデータを安全に保護する方がコストがかからないため、コストを意識したアプローチでもあります。
重要なセキュリティ ツールの 1 つは暗号化です。暗号化は、キーを持っている人 (またはコンピュータ) だけが情報を読み取れるように情報を変換するプロセスです。企業は、保管中および転送中の機密データに暗号化テクノロジーを使用して、Web サイト全体、デバイス上、またはクラウド内の機密データを保護できます。
あなたのビジネスでは、転送中も含めてデータを安全に保護するにはどうすればよいでしょうか?ここでは、FTC の和解、終了した調査、企業から寄せられた質問から収集したいくつかの提案を紹介します。
機密情報をそのライフサイクル全体にわたって安全に保ちます。
自分が何を持っているか、どこにあるかを明確に把握していなければ、情報を安全に保つことはできません。準備段階の 1 つは、機密データがどのように会社に入り、社内を移動し、流出するかを知ることです。星系内での移動を一度把握すれば、途中のあらゆる停留所で警戒を続けることが容易になります。
例: スポーツ用品のオンライン小売業者は、消費者にユーザー名とパスワードを選択させます。同社はすべてのユーザー名とパスワードをクリアで判読可能なテキストで保存します。その情報を安全に保管しないことにより、小売業者は不正アクセスのリスクを増大させています。
例: レシピ Web サイトでは、顧客が個別のプロフィールを作成できます。登録ページを設計する際、同社は要求される可能性のある多くのカテゴリの情報を考慮し、ビジネス上の理由で正当なものに絞り込みます。たとえば、同社は、その層の人々にアピールする可能性のあるレシピに合わせてサイトを調整するためにユーザーの生年月日を尋ねることを検討していますが、代わりに消費者が年齢層を選択できるようにすることにしました。情報の必要性を熟考し、機密性の低いデータを収集することで、同社はユーザー エクスペリエンスをカスタマイズできる、より安全な選択を行いました。
例: 不動産会社は、住宅購入希望者から機密の財務データを収集する必要があります。企業は、顧客のブラウザから会社のサーバーに情報が送信されるときに、適切な暗号化を使用して情報を保護します。しかし、情報が到着すると、サービスプロバイダーはそれを解読し、クリアで読みやすいテキストで会社の支社に送信します。不動産会社は、情報の最初の送信を暗号化することで、情報を安全に保つための慎重な措置を講じています。しかし、サービスプロバイダーが暗号化されていないデータを支店に送信できるようにすることで、同社は機密情報のライフサイクル全体にわたって適切なセキュリティを維持する重要性を十分に考慮していませんでした。
例: ある企業は最先端の暗号化技術を使用していますが、暗号化したデータと一緒に復号キーを保存しています。企業は、復号化キーを、ロックを解除するために使用されるデータとは別に保管する必要がありました。
業界でテストされ承認された方法を使用してください。
マーケティング担当者の中には、ユニークで風変わりな外観になるように製品をデザインする人もいます。しかし、「ユニーク」や「風変わり」という言葉は、会社のセキュリティに適用してほしくない言葉です。暗号化ホイールを再発明するよりも、その分野の専門家の集合的な知恵を反映し、業界でテストされた方法を採用する方が賢明なアプローチです。
例: 2 人のアプリ開発者が同様の製品を市場向けに準備しています。 ABC Company様は、独自の方法を使用してデータを難読化します。対照的に、XYZ 社は、業界の専門家に認められた実証済みの暗号化方式を使用しています。 XYZ Corporation は、実証済みの形式の暗号化を使用することで、製品開発において賢明な選択を行っています。さらに、XYZ の広告キャンペーンでは、業界標準の暗号化の使用を正直に宣伝できます。
構成が適切であることを確認してください。
ロッククライマーは最高級のギアを持っているかもしれませんが、カラビナやプーリーを適切に取り付けていないか、メーカーが警告している方法で使用している場合、悲惨な下山に陥る可能性があります。同様に、企業が強力な暗号化を選択する場合でも、それが正しく構成されていることを確認する必要があります。
例: 旅行会社は、消費者が人気の観光スポットのチケットを購入できるアプリを開発しました。旅行会社のアプリは、Transport Layer Security (TLS) プロトコルを使用して、消費者との暗号化された接続を確立します。アプリとチケットを販売する会社の間でデータが移動するとき、TLS 証明書を使用して、アプリが正規のオンライン サービスに接続していることを確認します。ただし、旅行会社はアプリを構成するときに、TLS 証明書を検証するプロセスを無効にします。デフォルトの検証設定を無効にしたり、TLS 証明書の検証に失敗したりすることに対するアプリ開発プラットフォーム プロバイダーからの警告にもかかわらず、旅行会社はこれを実行しました。旅行会社は、アプリ開発プラットフォームのデフォルトの推奨事項に従うべきでした。
企業の皆様への注意は、機密データが思いもよらない方法でシステムに侵入し、システム内を移動し、システムから流出する可能性があるということです。途中で適切な保護を講じていますか?
シリーズの次は: ネットワークをセグメント化して、誰が出入りしようとしているかを監視します。
