スタンダードが整理されたら、それぞれのデータに対して保護する仕組みの設置を検討しましょう。ここでは、デジタル著作権管理(DRM)、データ損失防止(DLP)、クラウド・アクセス・セキュリティ・ブローカー(CASB)について紹介致します。
まずは、デジタル著作権管理(DRM)です。デジタル著作権管理(DRM)は、デジタルコンテンツの海賊行為を防止し、著作物の著作権保護を提供する仕組みです。海賊行為とは、他人の著作物を無断で複製して配布する行為です。文書、ビデオ、ゲーム、ソフトウェアなどすべて対象になります。デジタル著作権管理は、こういった著作物のコピー、印刷、転送を防止し、組織や個人が著作物の使用、変更、配布を制御することを目的にしています。デジタル著作権管理はデジタルコンテンツの著作権を守る仕組みを指すため、何か特定の技術を指した言葉ではありません。対象や海賊の方法によって、デジタル著作権管理の方法は異なります。
例えば、インターネット上で画像のデジタルコンテンツを販売するとき、購入手続きや同意取得を得た後に、ライセンスを発行し、著作物へのアクセスを許可する仕組みが必要です。また、CDのようなデバイスでは、SCMSと呼ばれるコピーガード機能がついています。SCMS(Serial Copy Management System)とは、コピーを1世代のみに制限する技術であり、販売後のコピーを防止します。読書に特化したタブレット端末であるAmazonのKindleでは、購入した書籍であってもコピー&ペーストに制限をかけることで、著作権の侵害に対応しています。
次に、データ損失防止です。データ損失防止(DLP)は、組織から重要データが出ていかないようにする仕組みです。通信をスキャンして、保護されたデータや機密データが流出していないかどうかを判断します。一般的に、社内外の境界でネットワークトラフィックを分析し、機密情報の流出を阻止します。例えば、メールなどでファイルを外部に持ち出すとき、「社外秘」という文字列があれば、大事なデータの漏洩の可能性があるので検出します。また、メールや社内資料の許可されていないクラウドサービスへのアップロードのような従業員の故意による持ち出させないという目的のほかに、一般データ保護規則(GDPR)への準拠といった従業員が常に気に止めることができないであろう、複雑なセキュリティポリシーに準拠させることも目的にします。
最後にクラウド・アクセス・セキュリティ・ブローカー(CASB)です。クラウド・アクセス・セキュリティ・ブローカー、略してキャスビーは、ユーザーとクラウドベースのリソース間のアクティビティを監視し、認証の制御、アクセスの承認、保存データの暗号化、すべてのアクセスのログ取得、疑わしいアクティビティに対するアラートなど、組織のセキュリティ・ポリシーを適用する仕組みです。先ほどのデータ損失防止(DLP)は、社内から社外に対しての全般的なトラフィックを監視しますが、CASBはクラウドサービスのセキュリティに特化しています。
クラウドサービスというものがどんなものかご存じなくても使ったことはあるかと思います。経費管理のためにマネーフォワードを使ったり、チームメンバーのやり取りのためにMicrosoft Teamsを使ったり、ファイルを共有するためにGoogle Driveを使ったりとクラウドサービスを一般の業務でも利用するケースは珍しくありません。クラウドサービスでは、データ処理の実行や保存の場所が自分のパソコンではなく、クラウドサーバーという外部のサーバーになりますので、社内のデータを送っても良い外部サーバーという存在になります。であるならば、ユーザーとクラウドの間を制御してあげないといけません。利用するユーザーが業務系のクラウドサービスを利用するとき、認証し、会社の従業員であることを確認します。これにより、社内の使っていないパソコンからマルウェアを経由して、クラウドサービスに入ろうとしても、認証情報が分からないため、利用できないようにします。また、ユーザーの利用するクラウドサービスでやり取りするデータも監視し、不正な利用を防止します。もしも、怪しい動きがあった場合に、アラートを上げ、システム管理者に伝達します。
クラウドサービスをどのように安全に利用させるのか?