サプライチェーンセキュリティ
サプライチェーンセキュリティでは、ハッカーによるサプライチェーン全体への攻撃を防ぐだけでなく、サプライチェーン間でデータが受け渡された後もすべてのノードで適切な保護対策が実施されているかどうかが重要です。これには、上下流の取引先から提供されたデータを責任を持って保護することが含まれます。セキュリティルールを策定するだけでなく、TotalSecurityFortのようなツールも取引先から提供されたデータの保護に役立ちます。
セキュリティ教育訓練と規則
企業は、顧客情報の漏洩や不正使用を防ぐために、従業員に対して情報セキュリティ教育訓練を実施する必要があります。例えば、取引先からデータを受け取った後のデータの保管場所、取引先から提供されたデータの印刷時に特定の透かしを強制的に追加すること、印刷物の持ち出し制限や特定の場所にのみ保管すること、データ使用後の破棄、外部ディスクへのデータ書き込み時の管理者承認、メッセージアプリによるファイル送信の禁止など、具体的な規則(ルール)を設ける必要があります。厳格な企業の中には、協力会社に情報セキュリティリスク評価を実施させたり、情報セキュリティルールの策定を要求するところもあります。これは、サプライチェーンセキュリティにおいて非常に重要です。
また、社内従業員に対する情報セキュリティ教育訓練を実施する際には、サプライヤーデータの保護に関する章を教育訓練内容に追加し、策定した情報セキュリティルールと合わせて周知徹底を図るようにしましょう。
基本的な保護対策は必須(OS更新・資産管理)
取引先や顧客の情報漏洩や不正使用を防ぐためには、基本的なセキュリティ対策が不可欠です。社内でのハッキング対策となるセキュリティシステムに加えて、重要なのはエンドポイントPCの基本的な保護です。例えば、OSの脆弱性を修正するHotfixの更新、適切なアンチウイルスソフトやEDR・DLPなどの保護ツールのインストールによって、セキュリティポリシーを適切に運用できるようにします。
社内のIT資産を棚卸し管理し、時代遅れのシステムやPCを淘汰します。例えば、マイクロソフトがすでにサポートを終了したOS(Windows 7 / Windows XP)や、メッセージアプリなどセキュリティ上の懸念があるソフトがインストールされているPCを特定し、管理または削除する必要があります。また、適切なクラウドセキュリティ対策が整っていない場合は、Office 365などのフルクラウド版のソフトウェアは必要がない限り購入しないようにし、データが社外に流出するリスクを排除します。クラウドの利便性を活用するには、セキュリティメカニズムを慎重に評価・構築した上で、安全性を確保する必要があります。
出口側の管理による漏洩経路の削減
取引先のデータを処理または使用する各エンドポイントは、情報漏洩の可能性のある経路を管理する必要があります。出口経路は、物理的な経路とネットワーク経路に分けられます。
ハードウェアの出口: 外付けディスク、スマートフォン、プリンタ、外付けハードディスクドライブ
これらの経路は、「原則禁止/例外許可」を厳守します。そのため、情報漏洩の可能性のあるこれらの物理デバイスは、原則としてすべて禁止すべきです。使用が必要な場合は、申請して許可を得るようにします。PCからハードウェアデバイスにデータを書き出す場合は、すべて書き込みログを残して、以降も確認できるようにします。
ネットワークの出口: ソフトウェアによる接続の確立もネットワーク出口の一種です。例えば、Microsoft Officeではファイルをクラウドストレージに直接保存することができます。メッセージアプリによるファイルアップロード・クラウドドライブ・Webメールなどは、データのネットワーク出口の大部分を占めています。これら情報漏洩の原因となる出口も、原則禁止/例外許可とします。必要な場合は、各自で申請して許可を得るようにします。すべてのアップロード行為を監視して、送信されたファイルもバックアップ(Shadow)する必要があります。
暗号化によるアクセス制限で、プロジェクトメンバー以外による閲覧を防止
取引先のデータにアクセスするユーザのPCには、ドキュメント暗号化システムの導入検討を推奨します。特定のフォルダやファイルを暗号化したり、またはPC全体のファイルを暗号化するのも選択肢のひとつです。さらに、暗号化されたファイルの分類を実施し、プロジェクト関連のドキュメントはプロジェクト関係者のみが閲覧できるようにすることで、プロジェクトメンバー以外による閲覧を防ぎます。暗号化のメリットは、ドキュメントを持ち出されても開くことができず、会社の特定のPCまたは特定の人物のみが開いて閲覧できることです。万が一PCがウイルスに感染した場合でも、暗号化されたファイルはハッカーによる解読を困難にし、データが盗難された後の漏洩リスクを低減することができます。