クラウド環境における、真の統合型マルチベクターデータ保護の実現

Rodman Ramezanian 著 - エンタープライズクラウドセキュリティアドバイザー、Skyhigh Security

2022年6月14日 4 分で読めます

Gartnerの2020年のレポートによると、組織の88%が従業員に在宅勤務を奨励または義務付けています。また、PwCのレポートでは、企業はリモートワークの取り組みを概ね成功と評価していることが判明しました。多くの経営幹部は、オフィスのレイアウトを変更して収容人数を半分以下に削減しており、パンデミックによる制限が解除された後も、リモートワークが仕事の一部として定着することを示唆しています。

リモートワークの変化に追いつこうと奮闘するセキュリティチームは、複数の課題に直面しています。その主要な課題の一つは、この新しいリモートワークのパラダイムにおいて、企業データをデータ流出から保護し、コンプライアンスを維持する方法です。従業員は、企業環境内で許可されていなかった可能性のある、より安全性の低い環境で働き、複数のアプリケーションやコミュニケーションツールを使用しています。彼らが機密性の高い企業データを、安全性の低いクラウドサービスにアップロードしたらどうなるでしょうか？従業員が個人のデバイスを使用して、会社のメールコンテンツやSalesforceの連絡先をダウンロードしたらどうなるでしょうか？

Skyhigh Security Service Edge (SSE) は、主力製品であるSecure Web Gateway、Cloud Access Security Broker (CASB)、およびエンドポイントのData Loss Prevention (DLP) を単一の統合ソリューションに統合することで、企業に包括的なデータおよび脅威保護を提供します。Skyhigh Securityが提供するこのソリューションは、ネットワーク、認可済みおよび未認可（シャドーIT）のクラウドアプリケーション、ウェブトラフィック、エンドポイント全体で統合されたデータ分類とインシデント管理を特徴とし、複数の主要なデータ流出経路をカバーします。

SSEは複数のデータ流出経路から保護します

 

1. 高リスククラウドサービスへのデータ流出

残念ながら、多くのクラウドサービスは保存データを暗号化せず、アカウント終了時にデータを削除しないため、クラウドサービスが顧客データを永続的に所有することを許してしまいます。Skyhigh SSEは、75以上のセキュリティ属性を使用して危険なクラウドサービスの利用を検出し、ポリシーを適用します。例えば、リスクスコアが7を超えるすべてのサービスをブロックするなど、これにより、高リスククラウドサービスへのデータ流出を防ぐのに役立ちます。

2. 許可されたクラウドサービスへのデータ流出

一部のクラウドサービス、特に高リスクのものはブロックできます。しかし、IT部門によって完全に承認されていないものの、ビジネスニーズを満たしたり生産性を向上させたりするため、許可せざるを得ないものもあります。これらのサービスを有効にしつつデータを保護するために、セキュリティチームは、ユーザーがこれらのサービスからデータをダウンロードすることは許可するが、アップロードはブロックするといった部分的な制御を適用できます。この方法により、従業員は生産性を維持しつつ、企業データは保護されます。

3. 承認済みクラウドサービスからのデータ流出

デジタルトランスフォーメーションとクラウドファーストの取り組みにより、Office 365やG Suiteなどのクラウドデータストアに大量のデータが移行しています。そのため、企業は機密性の高い企業データがこれらのデータストアに存在することには抵抗がありませんが、不正なユーザーにデータが流出することを懸念しています。例えば、OneDrive内のファイルが不正な外部ユーザーと共有されたり、ユーザーが企業のSharePointアカウントからデータをダウンロードし、それを個人のOneDriveアカウントにアップロードしたりする可能性があります。Skyhigh Securityのお客様は、不正なサードパーティ共有をブロックするためにコラボレーションコントロールを適用し、従業員が常に個人のアカウントではなく企業アカウントでログインすることを確実にするために、テナント制限のようなインラインコントロールを使用することが一般的です。

4. エンドポイントデバイスからのデータ流出

すべてのセキュリティチームにとって重要な考慮事項は、特にほとんどの従業員が現在リモートワークを行っていることを考えると、ストレージドライブ、プリンター、周辺機器など、データが流出する可能性のある多数のアンマネージドデバイスです。さらに、Zoom、WebEx、Dropboxなどのリモートワークを可能にするサービスには、ウェブソケットや証明書ピンニングの考慮事項により、ネットワークポリシーで制御できないファイル共有および同期アクションを可能にするデスクトップアプリがあります。エンドポイントデバイスにデータ保護ポリシーを適用する能力は、不正なデバイスへのデータ漏洩を防ぎ、リモートワークの世界でコンプライアンスを維持するために不可欠となります。

5. メールを介したデータ流出

送信メールは、データ損失の重要な経路の一つです。メールにDLPポリシーを拡張し、適用する能力は、セキュリティチームにとって重要な考慮事項です。多くの企業はインラインメール制御を適用することを選択しますが、一部はオフバンド方式を使用し、監視モードでのみポリシー違反を表面化させます。

Skyhigh SSEは包括的なデータ保護ソリューションを提供します

データ保護のためにポイントセキュリティソリューションを使用すると、複数の課題が生じます。複数のコンソールでポリシーワークフローを管理し、ポリシーを書き換え、複数のセキュリティ製品でインシデント情報を調整することは、運用上のオーバーヘッドと調整の課題を引き起こし、関係チームの作業を遅らせ、セキュリティインシデントへの企業の対応能力を損ないます。Skyhigh Securityは、ウェブ、CASB、およびエンドポイントのDLPをデータ保護のための統合ソリューションとして提供します。統一されたエクスペリエンスを提供することで、Skyhigh SSEはセキュリティチームの一貫性と効率性を多方面で向上させます。

1. 再利用可能な分類

Trellix ePO、Skyhigh CASB、Skyhigh SSEを含む異なるプラットフォーム間で、単一の分類セットを再利用できます。例えば、エンドポイントデバイスにDLPポリシーを適用するためにブラジルの運転免許証情報を識別する分類が実装されている場合、同じ分類をOffice 365のコラボレーションポリシーやExchange Onlineの送信メールのDLPポリシーに適用できます。あるいは、エンドポイントとクラウドが2つの異なる製品によって保護されている場合、両方のプラットフォームで異なる分類とポリシーを作成し、その後、ポリシー違反の一貫性を保つために、2つのポリシーが同じ基盤となる正規表現ルールを持つことを確認する必要があります。これにより、セキュリティチームの運用上の複雑さとオーバーヘッドが増加します。

2. 統合されたインシデントインフラストラクチャ

Skyhigh SSEをご利用のお客様は、クラウド、ウェブ、エンドポイントにおけるDLPインシデントを一元化された単一のコンソールで確認できます。これは、従業員による単一のデータ持ち出し行為が複数の経路にわたって行われるシナリオにおいて、非常に役立ちます。例えば、従業員が会社のドキュメントを個人のメールアドレスで共有しようとし、その後WeTransferのようなシャドーサービスにアップロードしようとします。これらの試みがどちらも失敗した場合、彼はUSBドライブを使用して会社のノートパソコンからドキュメントをコピーします。これらの各行為はインシデントを発生させますが、ファイルに基づいてこれらのインシデントを統合的に表示することで、管理者は個別のソリューションからインシデントを解析しようとする場合とは異なり、独自の視点と、場合によっては異なる是正措置を講じることができます。

3. 一貫したエクスペリエンス

Skyhigh Securityのデータ保護機能は、認可されたクラウドサービスの保護、マルウェアからの防御、シャドウクラウドサービスへのデータ流出の防止のいずれにおいても、DLPポリシーの作成においてお客様に一貫したエクスペリエンスを提供します。使い慣れたワークフローにより、複数のチームがポリシーの作成と管理、およびインシデントの修復を容易に行うことができます。

PwCのレポートが示すように、在宅勤務のパラダイムは当面なくならないでしょう。企業がニューノーマルに備える中、Skyhigh SSEのようなソリューションは、リモート環境での成功に必要なセキュリティ変革を可能にします。

ブログへ戻る