見出し画像

エンタープライズ・データ・ストレージ・セキュリティのための12のベストプラクティス

企業データを危険にさらす方法は色々あります。従業員が誤ってファイルを削除したり、空港にノートパソコンを置き忘れたり、サーバにコーヒをこぼしたりするような、不慮の事故の場合もあります。また、ハッカーが個人情報を盗んだり、機密データにアクセスしたり、ランサムウェアのような身代金を要求してシステムをロックしようとする悪意のあります場合もあります。また、洪水や火災によってオフィススペースが被害を受けるような自然災害の場合もあります。データ・ストレージのセキュリティとは、これらすべての可能性を考慮し、それらに備えることです。ここでは、組織のあらゆるレベルでデータを確実に保護するための12のベストプラクティスを紹介します。

1 全社的なデータストレージセキュリティポリシーの制定

企業は、維持・使用するデータの種類に応じて、適切なセキュリティレベルを規定したポリシーを文書化する必要があります。ポリシーは明確に記述し、アクセス可能な場所で公開し、頻繁に更新します。公開データには、制限付きデータや機密データよりも低いセキュリティしか要求されないが、組織のポリシーはその両方をカバーするとともに、適切な保護を適用するためのセキュリティモデル、手順、ツールを整備すべきです。ポリシーは、組織が使用するストレージデバイスに導入するセキュリティ対策についても詳述すべきです。

2 役割ベースのアクセス制御の確立

役割(ロール)ベースのアクセス・コントロール(組織の役割がどのようにデータとやりとりし、データを使用するかに基づいてアクセスを許可または防止すること)は、安全なデータ・ストレージの必須条件です。さらに、多要素認証(MFA)のようなセキュリティ対策は、アクセスにさらなるセキュリティレベルをもたらします。アクセス・コントロールと一体となった強固なパスワード管理ポリシーは、安全なパスワードと定期的な変更に関する厳格なガイドラインを確立するべきです。

3 データ暗号化とデータ損失防止の導入

データは、ストレージ・システムとの間で送受信されている間と、保管されている間の両方で暗号化されるべきです。ストレージ管理者はまた、暗号鍵を追跡するための安全な鍵管理システムを持つ必要があります。多くの専門家は、完全なデータセキュリティを提供するには暗号化だけでは不十分であり、組織にはデータ損失防止(DLP)ソリューション(潜在的な侵害や不正送信を検知・防止するソフトウェア)も導入することを推奨されています。

4 強固なネットワーク・セキュリティ体制の維持

ファイアウォール、マルウェア対策、セキュリティゲートウェイ、侵入検知システム、または高度な分析と機械学習ベースのセキュリティソリューションなど、強力なネットワークセキュリティシステムに囲まれている必要があります。これらの対策は、ほとんどのサイバー攻撃者がストレージ・デバイスにアクセスするのを防ぐのに大いに役立ちます。組織はまた、内部ネットワーク上で資産が追加、削除、変更されるたびに即座に検出できるゼロトラスト・ネットワークを導入すべきです。これは、IT管理者の承認なしにITシステム、機器、クラウド・ベンダーを追加するエンドユーザ「一般社員開発者」が増えているため、特に重要であります。

5 強固なエンドポイント・セキュリティ体制の維持

組織は、従業員のPC、スマートフォン、その他企業の保存データにアクセスするデバイスに適切なセキュリティ対策を施していることも確認する必要があります。これらのエンドポイント、特にモバイル・デバイスは、そうでなければ組織のサイバー防御の弱点となり得ます。社内ネットワークに接続できるすべてのモバイル・デバイスとIoTデバイスのセキュリティ設定をチェックし、企業のセキュリティ標準に設定する必要があります。また、IT部門は、オペレーティング・システム、ファームウェア、およびアプリケーションの最新のセキュリティ・アップデートが、現場と企業内のすべてのモバイル機器とIoT機器に一律かつ即座にインストールされることを確証するポリシー、手順、および自動化ソフトウェアを導入する必要があります。

6 冗長ストレージの使用

RAID技術を含む冗長ストレージは、ハードドライブの可用性とパフォーマンスを向上させ、複数のドライブにデータのコピーを保存し、個々のハードドライブが故障した場合にフェイルオーバーを可能にすることで、組織がセキュリティインシデントを軽減するのに役立ちます。

7 バックアップ・リカバリ計画の策定と実施

成功したマルウェアやランサムウェア攻撃の中には、企業ネットワークが完全に危険にさらされ、復旧するにはバックアップから復元するしかないものもあります。ストレージ管理者は、バックアップシステムとプロセスが、このようなタイプのイベントやディザスタリカバリの目的に対して適切でありますことを確認する必要があります。さらに、バックアップシステムがプライマリシステムと同レベルのデータセキュリティを備えていることを確認する必要があります。フェイルオーバー・クラウド・ベンダーのバックアップ・システムは、オンサイトの企業データとの同時性を定期的にチェックする必要があります。バックアップがオフサイト施設に保管されている場合、保管されているハードドライブやテープメディアを定期的にチェックし、メディアが劣化してデータが破損したり、復元不可能になっていないことを確認する必要があります。

8 物理的に安全なストレージ・デバイスとデータ

データが遠隔地やエッジロケーションのストレージデバイスやサーバーに保存されている場合、これらのデータストアは、ゼロトラストネットワーク(ネットワーク上のリソースにアクセスしようとするすべての人やデバイスに厳格なID確認を要求するセキュリティモデル)によって監視され、使用されていないときは、アクセスが制限された施錠されたエリアに物理的に隔離されるべきです。

9 シンクライアント・ワークステーションの導入

企業内や現場で使用されるモバイル・デバイスやデスクトップ・ワークステーションは、シン・クライアントとして配備されることが理想的です。シン・クライアントとは、企業ネットワークやその他の許可されたソースからデータにアクセスして使用することはできますが、内部ハードドライブやソリッド・ステート・メモリにデータを保存することはできないマシンです。これにより、デバイスの紛失、盗難、置き忘れ時に起こりうる不運なデータ損失を防ぐことができます。

10 デバイスの紛失や置き忘れにリモートシャットダウンを使用する

従業員がモバイル・デバイスを紛失したり置き忘れたりした場合、IT部門はリモートでデバイスをシャットダウンし、アクセスできないようにする必要があります。これにより、データ損失の可能性や、無許可者によるネットワークアクセスを最小限に抑えることができます。

11 ベンダーとビジネスパートナーの適切な審査

クラウド・プロバイダ、ソフトウェア・ベンダー、ビジネス・パートナーなど、企業がデータを交換する相手、あるいは企業のサプライ・チェーンに含まれるサプライヤと契約を締結する前に、セキュリティ・チームが各企業のポリシーと慣行が企業標準に適合しているかどうかを適切に審査することが求められます。万が一、緩いセキュリティ慣行の結果としてデータが漏えいした場合、顧客はもちろんのこと、法的な責任を問われる可能性さえあります。適切な審査はRFPのプロセスから始まり、適切なレベルのセキュリティがビジネスを行うための文書化された要件となるはずです。

12 トレーニングでセキュリティ文化を築く

従業員のセキュリティ習慣の悪さは、データ損失や漏洩の主な原因です。ベストプラクティスが守られ、すべての従業員がセキュリティを最優先に考えるようにするため、あらゆるレベルの全従業員は、最低でも毎年セキュリティ研修と再教育コースを受けるべきです。

結論 : ストレージとデータの安全を守る

データは、自然なものであれ、不注意によるものであれ、データを盗んだりシステムを侵害しようとする悪意のある行為者によるものであれ、さまざまなセキュリティ上の脅威に頻繁にさらされています。優れたデータストレージセキュリティには、警戒、計画、教育が必要です。これは個人やチームだけの役割ではなく、組織全体の取り組みであり、企業文化の一部でなければなりません。実施と緩和の努力に加え、優れたデータ・ストレージ・セキュリティ担当者は、すべてのスタッフがリスクを認識し、ポリシーを遵守し、パートナーやベンダーを吟味し、あらゆる段階で企業資産を保護するためのトレーニングを受けるようにすることで、この全社的なアプローチを率先して行うことが必要です。

株式会社クライムは仮想化/クラウド/DBのバックアップ・レプリケーション職人隊です。


この記事が気に入ったらサポートをしてみませんか?