2022年6月14日
ロドマン・ラメザニアン - エンタープライズ・クラウド・セキュリティ・アドバイザー、Skyhigh Security
ガートナーの2020年版レポートによると、88%の企業が従業員に在宅勤務を奨励または義務付けている。また、PwCのレポートによると、企業はリモートワークへの取り組みをおおむね成功としている。多くのエグゼクティブがオフィスのレイアウトを変更し、収容人数を半分以下に減らしており、パンデミックによる制限から解放された後も、リモートワークがワークライフの一部として定着することを示している。
在宅勤務の変化に対応するために奔走するセキュリティチームは、複数の課題に取り組んでいます。主な課題は、この新しい在宅勤務のパラダイムにおいて、企業データを流出から保護し、コンプライアンスを維持する方法です。従業員は、より安全でない環境で働き、企業環境では許可されていないような複数のアプリケーションやコミュニケーションツールを使用するようになりました。もし、会社の機密データを安全性の低いクラウドサービスにアップロードしたらどうでしょうか。もし社員が個人所有のデバイスを使って、会社の電子メールコンテンツやSalesforceの連絡先をダウンロードしたらどうでしょう?
SkyhighSecurity Service Edge (SSE)は、主力製品であるsecure web gateway 、Cloud Access Security Broker (CASB)、およびエンドポイントdata loss prevention (DLP)を単一の統合ソリューションに統合することで、企業に包括的なデータと脅威の保護を提供します。Skyhigh Security が提供するソリューションは、ネットワーク、公認・非公認(シャドーIT)クラウドアプリケーション、ウェブトラフィック、エンドポイントにわたる統一されたデータ分類とインシデント管理を特徴とし、これにより複数の主要な流出ベクトルをカバーします。
SSEは、複数のデータ流出ベクトルから保護します。
1.危険度の高いクラウドサービスへの流出
しかし、残念ながら、大多数のクラウドサービスは、静止状態のデータを暗号化せず、また、アカウント終了時にデータを削除しないため、クラウドサービスが顧客データを永続的に所有することになっています。Skyhigh SSEは、75以上のセキュリティ属性を用いてリスクの高いクラウドサービスの利用を検知し、リスクスコアが7を超えるサービスをすべてブロックするなどのポリシーを実施することで、リスクの高いクラウドサービスへのデータ流出を防止することができます。
2.許可されたクラウドサービスへの流出
一部のクラウドサービス、特にリスクの高いものはブロックすることができます。しかし、IT部門が完全に許可しているわけではないが、ビジネス上の必要性を満たしたり、生産性を向上させたりするため、許可しなければならないサービスもある。このようなサービスを有効にしながらデータを保護するために、セキュリティチームは、ユーザーがこれらのサービスからデータをダウンロードすることは許可するが、アップロードはブロックするというような部分的なコントロールを実施することができます。こうすることで、従業員の生産性を維持しつつ、会社のデータを保護することができます。
3.制裁を受けたクラウドサービスからの流出
デジタルトランスフォーメーションとクラウドファーストの取り組みにより、大量のデータがOffice 365やG Suiteなどのクラウドデータストアに移行している。そのため、企業は機密性の高い企業データをこれらのデータストアに保管することに抵抗はないが、権限のないユーザーに流出することを懸念している。例えば、OneDrive内のファイルを無許可の外部ユーザーと共有したり、ユーザーが企業のSharePointアカウントからデータをダウンロードし、個人のOneDriveアカウントにアップロードしたりすることができる。Skyhigh Security 。一般的に、コラボレーション・コントロールを適用して無許可の第三者共有をブロックし、テナント制限などのインライン・コントロールを使用して、従業員が常に企業アカウントでログインし、個人アカウントでログインしないようにしている。
4.エンドポイントデバイスからの浸出
特に、ほとんどの従業員が自宅で仕事をするようになったことを考えると、ストレージドライブ、プリンター、周辺機器など、データが流出する可能性のある管理されていないデバイスが数多く存在することは、すべてのセキュリティチームにとって重要な考慮事項である。さらに、Zoom、WebEx、Dropboxなどのリモートワークを可能にするサービスには、ファイル共有や同期を可能にするデスクトップアプリケーションがあり、Webソケットや証明書のピン止めを考慮するため、ネットワークポリシーで制御することができない。不正なデバイスへのデータ漏洩を防ぎ、WFHの世界でコンプライアンスを維持するためには、エンドポイントデバイスにデータ保護ポリシーを適用する機能が重要になる。
5.電子メールによる浸出
アウトバウンドメールは、データ損失の重要なベクターの1つである。DLPポリシーを電子メールに拡張して適用する機能は、セキュリティチームにとって重要な検討事項です。多くの企業は、インラインの電子メール制御を適用することを選択しますが、中には、監視モードのみでポリシー違反を表面化するオフバンド方式を選択する企業もあります。
スカイハイSSEは、包括的なデータ保護サービスを提供します。
データ保護にポイント・セキュリティ・ソリューションを使用すると、複数の課題が生じます。複数のコンソールでポリシーのワークフローを管理したり、ポリシーを書き換えたり、複数のセキュリティ製品でインシデント情報を整合させたりすることは、運用上のオーバーヘッドや調整の問題を引き起こし、関係するチームの動きを鈍らせ、企業のセキュリティインシデントへの対応能力を低下させます。Skyhigh Security 、Web、CASB、エンドポイントDLPをデータ保護のための統合された製品として提供します。統一されたエクスペリエンスを提供することで、Skyhigh SSEはセキュリティチームの一貫性と効率をさまざまな方法で向上させます。
1.再利用可能な分類
Trellix ePO、Skyhigh CASB、Skyhigh SSEなど、異なるプラットフォーム間で、1セットの分類を再利用することができます。例えば、エンドポイント端末のDLPポリシーを適用するためにブラジルの運転免許証情報を識別する分類を実装した場合、Office 365のコラボレーションポリシーやExchange Onlineの送信メールのDLPポリシーで同じ分類を適用することができます。あるいは、エンドポイントとクラウドが2つの別々の製品で保護されている場合、両方のプラットフォームで異なる分類とポリシーを作成し、ポリシー違反の一貫性を保つために2つのポリシーが同じ基礎的な正規表現ルールを持つようにする必要があります。これは、セキュリティチームにとって運用の複雑さとオーバーヘッドを増大させます。
2.コンバージドインシデントインフラ
Skyhigh SSEをご利用のお客様は、クラウド、ウェブ、エンドポイントのDLPインシデントを1つの統一コンソールで確認することができます。これは、従業員による1つの流出行為が複数のベクトルにまたがるようなシナリオで非常に役立ちます。例えば、ある従業員が会社の文書を個人の電子メールアドレスで共有しようとし、それをWeTransferのようなシャドウサービスにアップロードしようとしたとします。この両方の試みがうまくいかないと、彼はUSBドライブを使い、オフィスのノートパソコンから文書をコピーします。このように、それぞれインシデントが発生しますが、ファイルに基づいてこれらのインシデントの統合ビューを表示すると、管理者は独自の視点を持つことができ、別々のソリューションからこれらのインシデントを解析しようとするのとは対照的に、異なる改善策を取ることができます。
3.一貫した経験
Skyhigh Securityのデータ保護機能は、認可されたクラウドサービスの保護、マルウェアからの保護、シャドウクラウドサービスへのデータ流出の防止など、DLPポリシーの作成において一貫したエクスペリエンスを顧客に提供します。使い慣れたワークフローを持つことで、複数のチームがポリシーを作成・管理し、インシデントを修復することが容易になります。
PwCの報告書にあるように、在宅勤務のパラダイムはすぐになくなることはないでしょう。企業が新しい常識に対応するために、Skyhigh SSEのようなソリューションは、リモートワークの世界で成功を収めるために必要なセキュリティ変革を可能にします。
ブログへ戻る