小規模企業におけるデータ保護:優先事項か、それとも「些細なこと」なのか?

大企業の機密情報漏洩や、セキュリティ事故のリスクを最小限に抑えるための対策はよく耳にします。しかし一方で、中小企業における情報セキュリティの問題については、メディアではほとんど取り上げられていません。

中小企業は、情報セキュリティの問題を懸念しているのだろうか?また、その場合、どのように対処しているのでしょうか。小規模企業のセキュリティ回路におけるDLPシステム(Data Loss Prevention)の役割とは何だろうか。これらの疑問に答えるため、情報セキュリティと小規模企業の分野の専門家に話を聞いた。

小規模企業における従業員監視ソフトの利用を考える前に、どのような情報を保護したいのかを正確に把握することが重要です。Greatment社のビジネス開発マネージャーであるStephen Lawsonは、次のように語っています。Stephen Lawsonが詳しく語ります。

「IT時代において、情報保護の問題は、情報交換プロセスに参加するほぼすべての人に関係します。大企業、中堅企業、中小企業、個人事業主、一般市民など、あらゆる人に関係する問題です。セキュリティの基本は、正しく定義され、分類された保護対象である。これはデータ(例えば、会社の開発計画、財務報告、使用技術の説明、発明)、情報システム(人事、CRM、ERP、BI、財務、製造システム)、ビジネスプロセス(製造技術)、さらには人(独自の技術を持つ社員、キーマン)であってもよいのです。また、一部の保護対象は、規制要件に従って定義されています(銀行機密、個人情報など)。保護方法と手段の選択は、何を保護する必要があるか、誰から保護する必要があるか、どこで保護する必要があるか、不適切な保護がどのような結果を招くかを理解することによって決定されます。セキュリティ上の脅威のシミュレーションの完全性と質、そして必要な対策が、長期的に企業の費用負担を決定することになる。企業の規模にかかわらず、セキュリティの脅威に対する保護は体系的に行う必要がある。つまり、脅威から保護するための一連の対策を、発生しうる悪影響の度合いに応じて策定することから始める必要があるのだ。データ保護を実施し、企業内の特定の人物に責任を割り当てる組織的なプロセスを作成する必要がある。例えば、非常に小さな会社の場合、いくつかの情報セキュリティ規則を作り、アンチウィルスソフトウェアをインストールし、重要なデータを暗号化し、機密情報の扱い方をスタッフに指導することを話す。"

様々なデータを保護するために、企業はDLPシステムを導入することができます。しかし、中小企業の場合、DLPの利用が正当化されるかどうかについては、専門家の意見が分かれた。

ブルース・サンドバル

シンボリテックスのリーディング・アナリスト。

「機密情報の漏洩は、企業規模に関係なく起こりうるのが現実です。また、データの種類も非常に多い。企業秘密、独自のデザイン、技術仕様など、こうした情報は通常、大企業や中堅企業が保護するものです。中小企業では、旅行代理店、保険会社、法律事務所など、個人情報を扱うことが多く、取得した情報の安全性を心配しなければならない。

そのため、DLPは企業だけでなく、あらゆる規模の企業で必要とされているのです。もちろん、DLPシステムはかなり高価なソフトウェアです。しかし、中小企業にとっては、この点が非常に重要であり、より手頃な価格のソリューションが求められています。そのため、現在では従業員監視のための製品の人気が高まっています。これらのシステムは、従業員の規律を維持し、ビジネス・プロセスの問題を発見し、DLPの問題を部分的に解決するのに役立ちます。"

イーサン・クック

プロフェッショナルホスティングプロバイダーStarrhostの情報セキュリティ部門の責任者である。

「情報保護に関するアイデアは、どのようなレベルであっても常に求められています。DLPソリューションの適切な利用は、最終的にコストや経費の削減につながるにもかかわらず、中小企業ではセキュリティ対策を組織の取り決めに限定し、限界まで取り組むことが好まれます。"

パトリック・シモンズ

クルツォの情報セキュリティ責任者。

「DLPは、ファイアウォールやアンチウィルスソフト、暗号保護といった従来のセキュリティ対策とは異なり、まだ発展途上にあり、消費者の興味を引くには至っていません。これにはいくつかの理由があります。まず、この種のソリューションのほとんどは、ハードウェアコンポーネントを含む購入費用、導入費用、DLPシステムを運用する人材の雇用とトレーニングに多大な費用がかかります。このため、DLPは企業にとって経済的に実現不可能なのです。第二に、DLPシステムの存在と能力に関する社会的認知の不足であり、情報セキュリティ確保という問題への関心の低さが依然として喫緊の課題である。特に、セキュリティ専任者がいない、業務上の問題解決のために従業員が個人所有の端末を頻繁に使用するなどの特徴を持つ中小企業にとっては、このことが関係しています。機密情報の漏洩を防ぐ仕組みを導入するために、専門機関が提供するサービスであるDLPを利用することができます。"

デニス・バーネット

株式会社エスタシオン 財務部長

「中小企業では、DLPソリューションに関心を持ちながらも、その特徴や有効活用のための条件を理解していないことが多いようです。中小企業がこのようなソフトウェアに適用する要件は、通常、非現実的なものです。経営者が個人的にほとんどすべての電子メールや転送データに目を通すような例外的なケースを考慮しなければ、中小企業はDLPシステムに、贈収賄や競合他社への業務データ譲渡など、従業員の不正を「自ら」検知することを期待しがちです。しかし、DLPシステムには独自のインテリジェンスがなく、収集した情報の価値を判断することはできない。すべての制御パラメータは、システムのユーザー(原則、企業の経済セキュリティサービス)が入力しなければならない。そのためには、最低限の技術的専門知識、企業のビジネスプロセスや各種データの価値の理解、適切なリスク評価、潜在的犯罪者の心理に対する一定の理解、常時監視と調整(言い換えれば、多くの労働時間を費やすこと)などが必要です。DLPは、セキュリティ担当者が手にするツールに過ぎません。そして、どんな高度なツールであっても、DLPシステムには、それを使う人の資格のレベルに一定の要件があるのです。"

グレゴリー・サンドヴァル

システムソフトウェア製品開発部部長

「小規模な企業では、十分な資金がないため、DLPシステムを導入することはあまりありません。また、小規模な会社では、社員同士が顔見知りで、職場の人間関係も信頼関係があるのが普通です。しかし、企業が成長し、従業員の入れ替わりが激しくなると、従業員の監視やDLPの導入を検討するようになります。これは通常、企業が200~300台のPCを保有するようになったときに起こります。その結果、潜在的な購入者は、DLPが基礎ではなく単なる追加である、簡素化されたシステムを主に検討することになります。"

ケネス・アギラー

セキュリティコードLLCのマーケティングマネージャー。

"中小企業におけるDLPシステムなどの情報セキュリティの需要は、かなり限定的である。その理由は、導入には投資だけでなく、情報セキュリティに対する一定の理解が必要なためです。経営者は、どのようなデータが機密で、誰がそれにアクセスすべきで、誰がそうでないかを明確に理解する必要がある。この問題は、IT管理者の責任と能力の範囲をはるかに超えています。しかし、小規模な企業では、管理者が情報セキュリティに関与しているのが普通である。また、小規模な企業は、柔軟性があり、コストに敏感であるという特徴がある。そのため、高機能なDLPソリューションが導入されることはほとんどありません。しかし、いくつかのDLP機能(通常はUSBコントロール)を組み込んだ多機能ワークステーション保護システムを取得した場合、その機能が利用されます。"

クリストファー・ヒューズ

, Purposeidler プロジェクトリーダー。

"当社では、(古典的な情報漏洩防止システムのように)制御が必要なのはデータではなく、そのデータを扱う従業員であると考えています。従来の管理システムには、いくつかのデメリットがあります。まず、重く、複雑で、導入コストが高い。そのため、小規模な企業には絶対に適用できません。第二に、古典的なDLPシステムは、データを扱うことを監視します。特定のファイル(ファイル名)、あるいは企業情報システム内のデータに対して、何らかのデータパターン(例えば、クレジットカード番号ならXXXX-XXXX-XXXX-XXXXなど)で監視が行われます。そのため、単にデータの形式を変えただけでは、DLPシステムはそれを把握することができません。例えば、クレジットカードの番号をXXX-XXXX-XXXXからAXXX、BXXX、CXXX、DXXXに変更しても、DLPシステムはそれを重要視せず、問題視してしまうのです。第三に、データの使用を常に監視することは、従業員のPCと会社のリソースに過大な負担をかけることになります。DLPシステムがすべての送信データをチェックするのであれば、障害が発生した場合、会社の孤立を招くことになります。"

小規模企業におけるDLPシステムの需要を指摘する専門家もいれば、このセグメントではDLPソリューションは普及していないと考える専門家もいる。ここでは、中小企業におけるDLPへの関心が、大企業や中堅企業と比較してどの程度大きいかを把握しておこう。

ジョージ・ソト

若手起業家クラブ代表、CloudSolutions代表取締役。

「DLPソリューションは、大企業でも中小企業でも、情報漏えいの予防策の1つとして有効です。DLPの本質は、情報漏えいのリスクを評価することですから、従業員のITリテラシーを高めるのに適しています。そのために、情報漏えいの可能性がある電子メール、インスタントメッセンジャー、Webなどのチャネルにおける活動を直接的に分析する。その内容や状況(プロトコル、アクティビティ、アプリケーションの種類など)を基に、プログラムはさらにセキュリティポリシーを作成し、それに従ってメッセージのブロックや違反の報告などを行います。ファイアウォールと異なり、DLPソリューションはデータ転送を完全にブロックするのではなく、ネットワーク内の人間の活動を分析しようとするため、企業はデータ漏洩の可能性がさらに高くなることを理解することが重要です。"

イーサン・クック

若手起業家クラブ代表、CloudSolutions代表取締役。

"情報を守る "ことに関心を持つのは、どの企業も同じ。DLPソリューション導入のアプローチは様々ですが、21世紀における「情報の損失」は「お金の損失」とほぼイコールであり、そうした損失リスクを最小限に抑えるという考えは、規模に関わらず全ての企業に存在すると考えるのが自然でしょう。"

パトリック・シモンズ

「企業がDLPシステムに関心を持つかどうかは、ITインフラの規模や処理するデータの量に左右されるだけではありません。もちろん、情報漏えいで被害を受ける可能性のある情報の存在や、現在の脅威の有無が主な要因になります。このように、DLPへの関心は大企業でも中小企業でも同じです。しかし、大企業はそのようなシステムを利用する機会も能力もより多く持っています。"

キース・バートン

エクスペクトロニカ」(株式会社アイテキオ)情報セキュリティ部長。

「まず、規模に関係なく十分な資金がある企業は、DLPシステムに興味を持っています。しかし、DLPはあくまでツールであり、本当に漏えい対策や予防に活用できるのか、それとも単なる「設計図」にとどまるのかは、情報セキュリティの責任者個人の志、プロジェクトチームの経験、明確な問題定義など多くの要因によって決まることを肝に銘じておいてください。情報漏えいの管理・予防の効果を高めるには、質の高い実装が不可欠である。DLPシステムの範囲は非常にデリケートであり、多くの企業では官僚的・法的な技術的問題と高い評判リスクによって、このようなプロジェクトの実施が遅れていることは注目に値します。

クリストファー・コール

SenseBoxのコマーシャル・ディレクター。

「DLPソリューションは、主に大企業で使用されています。そして、これらのシステムは当初、複雑な企業マシンの要件を満たすために正確に設計されました。しかし、データ保護の必要性は、スタートアップから大企業まで、誰にとっても同じことです。ここで重要なのは、ビジネスオーナーが使用するソフトウェアのレベルに関する決定そのものではなく、セキュリティに対するアプローチなのです。

DLPシステムは当初、セキュリティに対する偏執的なアプローチ、つまり、あらゆる行動を不可能にしたり、防止しようとすることから生まれました。例えば、ショッピングセンターの入り口に犬を連れた警備員を配置し、改札口や金属探知機を設置し、買い物客全員にボディチェックを導入することを想像してみてください。ソフトウェア製品であるDLPは、それに近いものです。文明国では、人々は法律、警察、裁判所を頼りにしています。そして、柵を作る必要はなく、どこにでも行くことができます。万が一、誰かが法律を破る勇気があれば、通常の防衛メカニズムが発動されます。警察が到着し、法執行システムが必然的に罰を与えることを保証します。

法律や雇用契約の条項、厳しい制裁といった形で、特定の従業員の機密情報へのアクセスを制限することは、誰にも妨げられない。これらの制裁や罰が、情報窃盗の可能性から得られる利益を上回れば、ほとんどの社員は窃盗をあきらめるでしょう。"

デニス・バーネット

「大企業は、DLPソリューションの有用性をよりよく理解し、DLPシステムを効果的に活用するための十分なリソースを有しているため、DLPソリューションの利用に関心を持っていると私は考えています。最近では、人工知能や機械学習、ビッグデータ解析といった科学の進歩を利用して、セキュリティ専門家の作業を容易にし、資格要件のレベルを下げるソリューションが市場に出てきています。これらのソリューションが、中堅・中小企業におけるDLPシステムの普及にどのように貢献するかは、時間が解決してくれるでしょう。"

ビリー・エレーラ

"中堅・大企業(特に金融業であれば)は、DLPシステムの利用に関心を持つことが多いようです。成長する企業にとって、取引や従業員のプライバシーを管理することはますます難しくなっています。このような状況では、情報漏えいや、(何らかの理由で忠誠心を失った)従業員がビジネスに害を及ぼすことを簡単に見逃してしまうことになりかねません。残念ながら、企業データへの直接攻撃を完全に防ぐことができるシステムはありませんが、プロセスを大幅に複雑化し、情報漏えいの利益を少なくし、犯罪者にとってより危険なものにすることができます。"

トーマス・ヒックス

KRAKE社の情報セキュリティ責任者。

「情報漏えいリスクはすべての企業に存在するため、すべての市場参加者(大企業とSMBセグメント)がDLPシステムに関心を持っています。しかし同時に、中小企業にとって情報漏えいの影響は、大企業よりもはるかに深刻である可能性があります。前者の場合、情報漏えいは重要な競争優位性を簡単に失い、その結果、廃業につながる可能性があります。大企業の場合は、風評被害や経済的損失が問題になることがほとんどです。

ケネス・アギラー

「DLPに限らず、情報セキュリティ対策への関心は、企業規模にもよりますが、それ以上に企業の成熟度によって異なります。自社や競合他社にとってのデータの価値を認識している企業ほど、データ保護に関する情報セキュリティ戦略を意識的に実施しています。この場合、情報セキュリティの手段を導入するだけでなく、意図的な漏洩や偶発的なデータ損失のリスクを低減するために、ビジネスプロセスを改革することが必要である。

そして、DLPシステムを導入するビジネスプロセスが明確になって初めて、その導入が企業規模に影響されるようになります。大企業であれば、そのようなプロジェクトに多くの費用をかけることができますが、技術的な要件も高くなることは明らかです。"

専門家の意見もまた分かれている。一方では、企業規模とDLPへの関心度には関連性がないとする意見もあり、他方では、DLPは大企業で最も需要があるとする専門家もいます。しかし、いずれの場合も、情報セキュリティを最優先事項の1つと考え、DLPシステムの潜在的なユーザーとなり得る小規模企業が存在することは、専門家の間でも一致しています。では、中小企業はどのようなシステムを求めているのだろうか。

ブルース・サンドバル

「大企業は一般的に「スマート」で高価な DLP ソリューションを選択します。中小企業は通常、自動化の可能性がない「手動」モードで、このソリューションがはるかに手頃であれば、これらのシステムで作業することを望んでいます。このため、中小企業ではすべてのインシデントを後付けで調査しています。

イーサン・クック

「情報セキュリティの分野では、ソフトウェアの価格が最も重要な問題ですが、それを省いて機能を重視するならば、より「雑食性」のあるセキュリティソフトウェアを優先する必要があります。小規模な企業では、情報システムの要素を統一する余裕がなく、文字通り手元にあるものだけで構築してしまうことがよくあります。もちろん、その結果、ITシステムで使用する機器が多様化することになる。"

パトリック・シモンズ

「企業がDLPシステムに適用する要件のリストは、主に、使用される情報転送の方法とその量を含む企業のITインフラの特定の特徴に基づいています。これにより、企業はDLPシステムが制御するデータ転送経路を決定することができます。最も一般的な制御機能は、電子メール、リムーバブルドライブ、URL、インスタントメッセンジャー、印刷の監視です。また、多くの企業にとって、DLPシステムのレポート作成は、導入したDLPシステムの有効性を経営陣に示すための重要なツールであることが多いようです。"

キース・バートン

「大企業の代表者は通常、DLPの助けを借りて特定の目的を達成しようとします。そのようなシステムは、すでに確立されたITランドスケープに統合される可能性が高く、大規模なDLPが必要です。

DLPは、情報保護のための他のコンポーネントやソリューションの量に依存します。これに対し、SMBセグメントでは、DLPソリューションが情報セキュリティに関する複数の問題を解決する「マルチツール」のようなものであることを望んでいます。また、導入の容易さや必要最小限のサポート要員も重要な要件です。"

グレゴリー・サンドヴァル

"中小企業からの主な要望は、最低限の価格です。しかし、DLPシステムの開発にはかなりの時間がかかり、常にアップデートが必要です。"

ビリー・エレーラ

「小規模な企業では、複数のソリューションの機能を組み合わせた、導入が極めて容易で低コストのソリューションを購入しようとしています。彼らは、アンチウイルスソリューション、トラフィックや従業員の生産性制御システムに焦点を当てており、その中には簡略化されたDLP機能が含まれていることがよくあります。小規模な企業では、情報保護が運用コストに含まれていないことが多いのです。"

トーマス・ヒックス

「中小企業が DLP ソリューションに求める主な要件は、手頃な価格、導入とサポートの容易さ、そして法的要件への準拠です。機能の観点から中小企業がDLPシステムに期待するのは、印刷やユーザーの電子メール通信(社内ネットワーク内と、gmail.comやmail.ruなどのインターネット郵便サービスの利用)の監視、外部ドライブやファイル共有サービスへのファイル転送のブロック、従業員のソーシャルネットワークやインスタントメッセンジャーの利用分析などの機能です "と述べています。

ケネス・アギラー

「小規模な企業では、経営資源が非常に限られています。これは情報セキュリティの予算にも、専門人材の数にも当てはまります。原則として、小規模な企業では1人か2人のIT専門家を雇い、程度の差こそあれ、ITや情報セキュリティに関するあらゆる問題を解決しています。"

この点については、専門家の意見はほぼ一致していた。小規模企業における情報セキュリティソフトの選定ポイントは、コストと導入のしやすさである。これは、大企業に比べ中小企業は資金や人的資源が限られているためである。このような状況の結果として、IT部門の1人または2人のメンバーで簡単に企業インフラに導入できる、低価格の多機能ソフトウェアを手に入れたいと思うようになったのです。

しかし、今日の市場には、情報保護においてあなたのビジネスを助けてくれる、かなり機能的なプログラムがいくつか存在します。しかも、その中には無料で利用できるものもあります。