企業内でさまざまな用途に使用され、サイバー攻撃の第一の伝達手段でもあるメールには、多数の規制が課され、慎重な使い方が求められます。2018年3月25日から適用されているGDPRもその一つです。
メールは、ある人から他の誰かに宛てたメッセージで、情報処理ネットワークを介してあるメールサーバから別のメールサーバへと送られます。
このシンプルなメールの定義だけでも、次のような二つの実績を持つこのコミュニケーションプロセスのセキュリティ課題を挙げるに十分だと考えられます。一つは、ビジネスコミュニケーションで最もよく使われているという点、もう一つはメールが今日ハッカーの主要な攻撃手段であり(1)、最も脅威に晒されていると同時に脅威を与える存在であるということです。
GDPR対応サイバーセキュリティ
メールは、組織のサイバーセキュリティ戦略の中核に置かれるべきです。なぜなら、メールは社内かつ社外コミュニケーションのどちらにおいても極めて重要で、全社員そして企業のエコシステムを形成するすべての個人に関わるツールだからです。さらに言うと、メールは今日では企業価値となるデータを破壊したり、盗んだりする目的で企業を攻撃しようとするハッカーたちの標的になっています。メールサービスは、特にフィッシングやスピアフィッシング、また業界のスパイ行為として持ち込まれたマルウェアの悪用などの詐欺目的のデータ盗用の様々な手段から保護される必要があります。
このようなサイバー犯罪に対するデータ保護の状況と並行して、GDPR(一般データ保護規則)の適用によって、個人情報の保護に関連する新しい規則が加わりました。2018年3月25日から、ヨーロッパのすべての企業、または、欧州共同体内の市民とやり取りをする者は、EUの規制であるGDPRに従うことになっています。この規制は、特に企業に対して、顧客、納入業者、被雇用者、またはその企業の関係者などデータべ―スに保持しているすべての個人情報を保護することを命じています。またそこでは、どのような企業が二つの概念である『プライバシーバイデザイン(あらゆる新しいプロセスはサイバーセキュリティの視点から作られるべきである)』と『プライバシーバイデフォルト(保存されているすべてのデータは最低限事前に匿名化されるべきである、つまり人を形式上特定できないようにする)』を遵守すべきかが定義されている。
つまり企業は、所有している個人情報を保護するための手段を導入しなければならないということ、そして、それらの情報が収集された目的の範囲外で使用されたり、当該者の明確な同意なしに第三者に伝えたりしないことを保証する義務があるということを示しています。
この新しい規制の枠組みにおいて、企業は所有しているデータがハッキングの危険に晒されないように適切な対策を取っていることを証明しなければなりません。以上のことから、データのハッキングのメインゲート、つまりメールサービスを保護する必要があります。そして、これは、G SuiteやOffce 365などのクラウド上のアプリケーションプラットフォームを利用する企業にとっては、より一層必要不可欠です。つまり、サイバー犯罪からの保護、とりわけメールサービスを保護することができるソリューションは、この新しい状況に完全に適合するので、GDPRに対応していることを証明することができます。
GDPR対応のメール保護:4つの主要エレメント
メールサービス、つまり、社外に向けた送受信だけでなく社内で交わされるメールフローも保護することで、個人情報保護保証に関わる法律の要求に応えることができます。より正確には、メールを保護することは、この法律が要求するさまざまな条件に影響をもたらします。つまり、データの保護、データの追跡とアクセスの制限、データ漏洩に対する備え、さらに、ユーザーIDの管理です。
データを保護する
メール保護ソリューションを導入することで、マルウェア、フィッシング、スピアフィッシングなどあらゆる攻撃の企てを阻止することができます。それにより、単独または大量のデータの窃盗を回避することができます。重要なのは、既知の脅威だけでなく、特に未知の脅威を阻止することで、ゼロデイ攻撃(未確認の欠陥を利用した攻撃)から保護することができるソリューションを備えることです。セキュリティの分野においては、たった一つでも攻撃が成功してしまうと、重大な結果が引き起こされることがあります。ヒューリスティックフィルターとマシーンラーニングおよび人工知能のアルゴリズムを基本とした当社のソリューションを使うことにより、シグネチャーやIPアドレスの評価に基づく従来の技術を使ったソリューションでは対応が難しい、これらの新しい攻撃を阻止することができます。
データの追跡とアクセスの制限
メールのフィルタリングの実行記録、イベントの実行記録、長期間におけるの正確な統計によって、トレーサビリティが保証されています。この統計は、データ消費対策(データの寿命、消去と移動のワークフロー、アクセス管理など)の実装に基づいています。
データ漏洩に備える
データ漏洩に備えるためには、ユーザーの認識を高めるとともに、特にフィッシングとスピアフィッシングに対して有効な保護ソリューションを備えることが必要です。
認識を高めて注意を喚起することをデータセキュリティの中心に置くべきです。なぜならユーザーは、攻撃の第一の標的であり、ハッカーたちにセキュリティ上の弱点だとみなされているからです。つまり、企業の防衛壁を突破してデータにアクセスするためにハッカーたちがだまそうとするのはユーザーです。
データの漏洩を防ぐことは、この種の脅威を検知して、データを盗み出そうとするすべての攻撃を阻止できるメール保護ソリューションを備えることでもあります。例えば、そのソリューションは、開封時を含めて、メールの中にあるリンクを分析できなければなりません(フィッシング対策)。また、それに加えて、ID詐称やデータ窃盗対策専門の保護を提供できなくてはなりません(スピアフィッシング対策)。
ホワイトペーパーをダウンロードしてください:「進化した攻撃を内包するスピアフィッシング」
ユーザーIDを管理する
認証は、企業と個人を保護するための重要な要素であり、その必要性はメールだけにとどまらず、さらに広い範囲に及んでいます。メール保護に関しては、ユーザーごとのフィルタリングの規則(特に、スピアフィッシングの標的型攻撃を検知するため)と隔離された各ユーザーのアクセス認証に基づくことが可能でなければなりません。
GDPRに関連する主要な権利の留意点:
- アクセス権: データがどこでどのような目的で使用されるのかを知ること。データの電子コピーが無料で取得できること
- データ処理の制限に関する権利: データの厳密さ、合法性、処理の必要性に疑問がある場合にデータ処理の制限を要求する権利。
- 修正権: 不正確または不完全な個人情報の修正を要求する権利。
- 消去権: 個人情報は削除できるべきであり、その処理や伝播を止めさせることができる権利。
- 異議に関する権利: 同意は明確に得られる必要がある。また、合意が成されるのと同様、容易にそれを撤回できなければならない。
- データ携行の権利: あらかじめコンピュータ上で提供された個人情報を受け取ったり、他の機関にそれらを転送したりする権利。企業はこれらの権利が守られるべく配慮することが必要で、GDPRがその取り組みのベースとなります。それによって、実際に個人情報を進んで保護し、GDPRで求められている義務を果たすことにもなります。
主要な義務の留意点:
- 設計段階および初期状態におけるプライバシー: データは、その構想の時点から初期段階で使用されるたびに保護されなければならない。企業は必要なデータのみを保存することができ、データを処理する者のアクセスを制限することができる。
- データ処理の記録を維持する: あらゆる個人情報の要請と処理は記録されなければならない。
- DPO(データ保護責任者)を選任する: DPO(データ保護責任者)の選任は、公的機関および基本的業務の性質上、いわゆる『機密』情報を大量に処理しなければならない機関に対して義務付けられている(第37条)。
- 支障が生じた場合は報告する: 当該者(データの保存先ファイルの所有者)対して、保有データにリスクをもたらす可能性のある欠陥を72時間以内に報告することが義務付けられている。
1 - Dark Reading : 2017年セキュリティ違反の影響調査
