2024年における機密コンテンツ通信のセキュリティ確保が重要な理由
データプライバシーとコンプライアンスリスクの管理は、これらの脆弱性を悪用しようとする者の巧妙さを反映して、ますます複雑化しています。このブログ記事では、Kiteworksの2024年センシティブコンテンツコミュニケーション予測で示された課題と予測を掘り下げ、この重要な戦いの最前線に立つ人々に知見と戦略を提供します。
脅威の風景の拡大
デジタル時代は、かつてないほどの接続性と利便性をもたらしましたが、この相互接続性はサイバー犯罪者にとっても扉を開くことになります。これらの悪意ある行為者は常に手法を洗練させており、彼らの攻撃を検出し阻止することがますます困難になっています。Kiteworksのレポートで強調されている懸念すべき傾向は、サプライチェーンを標的にする方向へのシフトです。このアプローチにより、攻撃者は単一の障害点を通じて多様な組織を侵害し、その行動の影響を拡大することができます。昨年だけでも、技術プロバイダーを含む第三者ベンダーが成功したデータ侵害の15%を占めました。
生成的人工知能と大規模言語モデル(GenAI LLMs)の出現は、サイバーセキュリティの風景をさらに複雑にしました。これらの技術は画期的である一方で、データの悪用と操作の新たな道を開き、センシティブコンテンツを保護する作業をますます困難にしています。
規制の対応と組織の課題
これらの増大する脅威に対応して、世界中の規制機関は既存のデータプライバシーフレームワークを強化するだけでなく、新しい規制を導入しています。コンプライアンス違反に対する罰金とペナルティの厳しさが増していることは、これらの変化がどれほど真剣に行われているかを示しています。組織にとって、これはコンテンツアクセスの厳重な追跡と制御、そして進化するコンプライアンス要件への遵守を示す包括的な監査ログの必要性を意味します。
Kiteworksの2024年の展望
Kiteworksの2024年センシティブコンテンツコミュニケーション予測は、過去1年間のトレンドを徹底的に分析し、来年の予測を提供します。レポートで特定された主要な課題は、センシティブコンテンツコミュニケーションにおけるプライバシーとコンプライアンスの管理です。これには、メール、ファイル共有、マネージドファイル転送(MFT)、SFTP、ウェブフォームなどのコミュニケーションツールが含まれます。これらのツールの多くは10年以上前に開発され、サイバー脅威に対抗するために必要な高度なセキュリティ機能が欠けています。
このセキュリティ機能のギャップは重大なデータ侵害を引き起こし、組織は現在のデータコミュニケーションツールを再評価することを余儀なくされています。レポートは、2024年には戦略のシフトが予想され、より多くの組織がコミュニケーションツールを単一のプラットフォームに統合することを目指すと予測しています。このような統合は、監査プロセスの簡素化やポリシー管理の統一など、多くの利点を提供し、サイバー脅威に対するより強力な防御を提供します。
2024年のセンシティブコンテンツコミュニケーションの12の予測
以下は、Kiteworks 2024年予測レポートに含まれる12の予測の概要です。技術の進歩を受け入れ、サイバーセキュリティ意識の文化を育むことから、今後の道のりは多面的なアプローチを必要とします。
1. AI LLMsのデータプライバシーとコンプライアンスリスク
生成的AI大規模言語モデル(GenAI LLMs)の使用は、禁止にもかかわらず、競争上の優位性が無視できないため、従業員や第三者によって倍増すると予想されています。すでに約15%の従業員がこれらのモデルに会社データを入力しており、そのうちの4分の1はセンシティブなデータであり、知的財産、個人情報、健康情報、財務文書、センシティブなコミュニケーションの露出リスクを高めています。この傾向はデータ侵害を増加させ、2024年には規制当局の注目を集め、ブランドの損害、罰金、法的費用、顧客の信頼の喪失をもたらす可能性があります。
組織は、データの感度に基づいてアクセスとコラボレーションを制限するゼロトラストモデルに移行しており、最小特権アクセスとコンテンツアクセスと移動の包括的な監視とログを確保しています。高リスクコンテンツの安全なコラボレーションを促進し、無許可のデータ抽出を防ぐために、デジタル著作権管理(DRM)の使用が顕著に増加します。さらに、従業員のGenAI LLMsの責任ある使用を促進するために、データセキュリティ意識トレーニングへの投資が増加しています。非構造化データを保護し、厳格なガバナンスを実施することで、組織はセキュリティとコンプライアンスリスクを大幅に削減することを目指しています。
2. データプライバシーとAI LLMの規制と基準
GenAI LLMsの出現は、規制機関にAI規制と基準の迅速な確立を促しました。注目すべきステップは、10月30日のホワイトハウスの大統領令(EO)であり、AIのリスクと利益のバランスを取ることを目指しています。このEOは、連邦機関にAI基準の開発を指示し、議会に規制の取り組みを奨励しています。新しい安全性とセキュリティ基準を確立し、米国市民のデータプライバシーを保護し、公正なAI市場を促進します。EOは、NISTの指導の下、米国政府にAIの使用と調達を精査し、AI開発者に連邦の安全評価を受けることを要求しています。
米国では、州がAI関連法を積極的に検討または可決しており、立法の勢いが増しています。国際的には、EUの2026年までに予定されているAI法がAI使用の明確な要件を示し、リスク軽減を目指しながら、特に中小企業に対する行政負担を軽減します。
NISTのAI RMFプレイブックは、第三者リスク、ストレステスト、データガバナンス、透明性に対処する基準を形成しています。2024年には、これらの基準に従う組織は、強力な技術的制御と責任あるAIプラクティスでセンシティブコンテンツリスクを管理する必要があります。AIセキュリティ要件が進化する中、ガバナンストラッキングと詳細な監査ログを通じてコンプライアンスを示すことが重要になります。専門家は、2024年後半にはAI基準の実施が見込まれ、必要なガバナンス構造の確立と運用化には時間がかかると予測しています。
3. 現代的なMFTアプローチの必要性
多くのマネージドファイル転送(MFT)ソリューションは時代遅れであり、重要なセキュリティ対策が欠けており、オンプレミスの展開はベンダーの強化が不足し、顧客に脆弱性管理の負担をかけるサイロ化されたアプローチに苦しんでいます。これには、ファイアウォール、侵入検知、アンチウイルス技術の実施が含まれます。これらのレガシーシステムは、データ損失防止(DLP)、高度な脅威防止(ATP)、コンテンツ無害化と再構築(CDR)などの重要なセキュリティ機能を見逃しています。
2024年には、組織はプロバイダーからのワンクリックアップデートを可能にし、増加するサイバー脅威に対抗するための統合された高度なセキュリティを含む現代的な仮想アプライアンスをMFTに好むようになります。MFTツールは、安全で自動化されたデータ転送に不可欠であり、サイバー攻撃の標的となるソフトウェアサプライチェーンのコンプライアンスに不可欠です。IBMのレポートによれば、侵害の12%がソフトウェアサプライチェーンに関与しており、第三者がデータ侵害の15%を占めています。
主要なMFTツールにおける最近のゼロデイ脆弱性の悪用は、2024年にこれらの脆弱性が攻撃の焦点であり続けることを示しており、サプライチェーン、規制罰金、法的費用、ブランドの評判に重大な影響を与える可能性があります。
4. 現代的なメール保護ゲートウェイの必要性
メールは依然としてサイバー脅威の主要な攻撃ベクトルであり、マルウェアとフィッシング攻撃が29%、ビジネスメール詐欺(BEC)が66%増加しています。BEC攻撃ごとの盗難の中央値は5万ドルに達しています。従来のメールセキュリティは、これらの巧妙なソーシャルエンジニアリング攻撃に対抗するのに苦労しており、人為的なエラーを標的にすることが多いです。データ侵害の80%以上が人間の脆弱性を悪用し、時代遅れのメールセキュリティ対策を回避しています。
メール暗号化は改善されており、ITエグゼクティブの90%が外部コミュニケーションの優先事項としている一方で、内部の実践は遅れており、79%の企業が暗号化されていないセンシティブデータをメールで共有しています。さらに、35%の企業のみが広範な暗号化対策を講じています。暗号化方法と公開鍵交換の複雑さと困難さがこれらの欠点に寄与しています。
メールセキュリティの課題は、DRM、DLP、高度な脅威検出、安全なクラウドストレージ、堅牢なアイデンティティ管理の欠如を含んでいます。組織がメールの送受信と保存にゼロトラストポリシー管理を採用するまで、メールセキュリティは2024年におけるデータプライバシーとコンプライアンスの重大なリスクであり続けます。
5. データプライバシー規制と基準の成長
2023年には、データプライバシー規制が引き続き増加し、Gartnerは2024年末までに世界人口の75%の個人データがそのような規制の下に置かれ、平均的な企業のプライバシー予算が250万ドルを超えると予測しています。米国では、2023年に5つの州がプライバシー法を制定し、今後2年間でさらに10州が続く予定です。
世界的に、データプライバシーへの注目が高まっており、EUはGDPR、デジタル市場法、デジタルサービス法、AI規制を含む複数の法律を推進しています。EUの新しいデータプライバシーフレームワークは、大西洋を越えたデータ転送を促進し、米国企業に商務省とのコンプライアンスを自己認証することを要求しています。
2020年に初めてリリースされたNISTプライバシーフレームワークは、2024年に拡大し、企業のリスク管理の側面をより広くカバーし、新たな連邦プライバシー法と整合することが期待されています。NISTサイバーセキュリティフレームワーク(CSF)の予想される更新は、継続的なリスク評価とサプライチェーンリスク管理を強調します。組織は、センシティブコンテンツコミュニケーションに対するサイロ化されたアプローチのためにコンプライアンスを示すのに課題を抱えていますが、より良い追跡と報告のために中央集権的なガバナンスと監査ログに移行することが期待されています。
6. データ主権の重要性の高まり
2024年には、データローカライゼーショントレンドが組織にとってデータ主権の課題を増幅させ、世界中の規制機関がデータの収集、保存、使用に対する厳格な管理を強化しています。この規制環境は、特に多国籍企業にとって、データが存在する管轄区域を管理し、組織内でデータを広くアクセス可能にするデータ民主化のトレンドとバランスを取ることを要求します。個人識別情報などのすべてのデータタイプを含むデータ主権は、コンプライアンスを維持し、法的リスクを最小限に抑え、信頼を育み、評判を保護するために重要です。
アプリケーションの展開はますます主権法によって決定され、ドイツや中国のような国々が厳格な管理を強化し、米国のCLOUD法が国際データ処理にさらなる複雑さをもたらしています。企業はこれらの法律に準拠するために国内ホスティングを提供するベンダーを好むことが多いですが、CLOUD法のような法律がホスティングの決定に影響を与え、データ主権に準拠するためにシングルテナントホスティングソリューションを好む傾向があります。企業は、アプリケーション内でデータ主権機能を採用するか、マルチカントリー展開をより効果的に管理するためにシングルテナントホスティングを選択することで適応することが期待されています。
7. データプライバシー違反に対する罰金の増加
データプライバシー違反に対する罰金は過去2年間で急増し、GDPR違反に対する記録的なレベルに達しており、この傾向は2024年まで続くと予想されています。2023年の注目すべき罰金には、アイルランドデータ保護委員会によるMetaの13億ドルの罰金、40の米国州とのGoogleの3億9150万ドルの和解、FTCによるAmazonの6170万ドルの罰金、同じくFTCによるUberの210万ドルの罰金が含まれます。
規制機関はプライバシー法の執行を強化し、コンプライアンス違反に対して厳しい罰金を課しています。これらの罰金は、GDPRの下でのMarriottやBritish Airwaysに対する多額の罰金に見られるように、不十分なガバナンスとデータセキュリティから生じることが多いです。この傾向は、個人データを不注意に扱う企業に対する厳格な規制姿勢を示唆しています。米国および国際的により多くのデータプライバシー法が制定される中、違反に対する財政的な結果はエスカレートすることが予想されます。
2024年には、世界人口の大部分がデータプライバシー規制の下にあるため、組織は専用のデータプライバシーオペレーションを確立する可能性が高いです。国際的に活動する企業にとって、これは2024年のさまざまなデータローカライゼーション要件に合わせてクラウドサービスの設計と調達を適応させる必要があります。
8. FedRAMP認定のセンシティブコンテンツコミュニケーションソリューションの採用
2023年にバイデン大統領によって制定されたジェームズ・M・インホフ国家防衛権限法は、連邦サービス管理局内でFedRAMPプログラムを正式化し、クラウドサービスの政府採用を合理化するための改善を開始します。同時に、OMBはFedRAMPを近代化するための更新を提案し、プログラムを拡大し、セキュリティレビューを強化し、連邦政府の安全なクラウド採用を迅速化することを目指しています。
2024年までに、FedRAMP認定は、米国連邦政府と関わることを希望するクラウドサービスプロバイダーにとって、厳格な年次監査を通じて義務付けられると予想されています。DIB内の防衛請負業者にとって、CMMC 2.0はFedRAMPの規定を組み込み、FedRAMP認定のファイルおよびメールデータコミュニケーションを持つことは、これらの請負業者のコンプライアンスを促進します。2024年には、CMMCレベル2認証を目指すDIB請負業者の数が増加し、ファイルおよびメールデータ転送のための準拠した技術ソリューションの採用に焦点が当てられるでしょう。
9. センシティブコンテンツを保護するためのデジタル著作権管理の出現
デジタル著作権管理(DRM)は、組織が増加する規制要求の中でセンシティブコンテンツを保護しようとする中で、より一般的になると予想されており、市場予測では2024年までに50億ドルを超えるとされています。Gartnerによれば、DRMをより広範な技術トレンドと統合することが重要です。組織は、NISTサイバーセキュリティフレームワークやNIST 800-53のような基準にますます依存し、コンテンツ定義のポリシー管理を行います。
DRMの緊急性は、増大するサイバー脅威、厳格なデータプライバシー規制、組織内外でのコンテンツ共有の管理の必要性によって推進されています。次世代DRMは、組織の境界を超えたセンシティブデータに対する重要な保護を提供し、持続的なセキュリティに焦点を当てます。効果的なDRMの実施には、ガバナンス、ワークフロー、アクセス制御のベストプラクティスに従い、デジタル環境全体での一貫した追跡、制御、可視性が必要です。
2024年には、データ分類とDRMポリシー管理が重要となり、データリスクカテゴリーに合わせたさまざまなレベルの保護が行われます。特に個人データの大量を扱う医療分野をはじめ、金融、製造、法務、政府、教育機関などの高度に規制されたセクターが、データプライバシーとコンプライアンスリスクを管理するために高度なDRMソリューションの採用を先導することが予想されます。
10. センシティブコンテンツコミュニケーションへの高度なセキュリティの統合
2024年には、組織はクラウドデータ損失防止(DLP)、高度な脅威防止(ATP)、コンテンツ無害化と再構築(CDR)などの高度なサイバーセキュリティ技術をセンシティブコンテンツ管理ワークフローに広く採用する準備が整っています。これらのツールは、データを転送中および保存中に保護するために不可欠です。DLPは、意図しない開示を防ぐために送信される通信をスキャンし、CDRは受信ドキュメントから潜在的に有害な要素を積極的に除去します。マネージドファイル転送(MFT)プラットフォームは、これらの機能をネイティブに組み込み、セキュリティを強化し、ポリシー違反を防止することが期待されています。
コンテンツの移動に対する包括的な監視と詳細な監査トレイルを伴う堅牢な監視を達成することに焦点が当てられます。特にMFTのような中央集権的なプラットフォームは、メール、ファイル共有、ウェブフォームなどのさまざまなコミュニケーションツールにわたるセキュリティポリシーの施行を簡素化します。ATPの統合により、すべての転送コンテンツが徹底的にスキャンされ、リスクが軽減されます。DLP市場自体は、データ発見、ポリシー施行、分類、インシデント対応の必要性の高まりによって大幅に拡大し、2030年までに22.3%の年間複合成長率が予想されています。
11. センシティブコンテンツコミュニケーションとPCNの中央集権化
プライベートコンテンツネットワーク(PCN)の概念は、ネットワーク境界防御ではなくコンテンツの感度に焦点を当てることで、従来のゼロトラストセキュリティモデルを再定義します。PCNはコンテンツ定義の信頼原則に基づいて運用され、データに感度ラベルを割り当て、コンテンツの分類された感度レベルに合わせた暗号化やアクセス制御などのセキュリティ対策を適用します。このアプローチは、データの重要性に合わせてセキュリティを調整し、ネットワークの場所だけでなく、データの重要性に基づいてセキュリティを確保します。
2024年には、組織はPCNをますます採用し、データの感度に共鳴する動的なポリシー管理を統合します。このシステムは、ユーザーロール、コンテンツ分類、データに対する意図されたアクションに基づいて、微妙なリスクポリシーを施行し、高度にセンシティブな情報に対する追加の検証を含みます。さらに、PCNはコンテンツの相互作用の詳細なログを通じて可視性とコンプライアンスを強化し、「決して信頼せず、常に検証する」というゼロトラストの格言を体現し、センシティブコンテンツコミュニケーションの統一管理への道を開きます。
12. センシティブコンテンツを含む非常に大きなファイルのコミュニケーションの成長
ファイルサイズが大幅に拡大する中、組織はセンシティブな大容量ファイルコンテンツの管理において増大する課題に直面しています。バイオテクノロジーの分野では、遺伝子研究と個別化医療の進展により、大量のDNAシーケンシングデータファイルが生成されています。設計とエンジニアリングでは、CADファイルの複雑さが増しています。法執行機関のビデオ証拠への依存、マーケティングの高解像度メディアの使用、経済学や科学研究における分析ファイルの膨張は、堅牢な安全なストレージと転送ソリューションを必要としています。
急成長するプライベート大規模言語モデル(LLMs)セクターも懸念の一つであり、トレーニングデータセットが急速に拡大し、機密性が高まっています。これらの大規模でセンシティブなデータセットの管理は、重要な運用上の問題となっています。
顧客サービスがOkta侵害で示されたように、センシティブデータを含む大規模なログとHARファイルを処理する必要性は、セキュリティの脆弱性を浮き彫りにしています。従業員が承認されていない転送方法を使用する傾向は、これらのリスクをさらに悪化させています。Microsoft 365やBoxのようなクラウドストレージサービスは制限を拡大していますが、データ量の多い業界の要件にはまだ不十分であり、安全な大容量ファイル転送とストレージ機能の進展が必要です。
PCNで2024年の予測に対処
サプライチェーン攻撃やGenAI LLMsからのリスクなどのサイバー脅威の増加は、2024年にサイバーリスクを増大させます。これを困難にするのは、罰金とペナルティの大幅な増加を含む、拡大し進化する世界的なデータプライバシー規制です。これに対処するために、データ中心のセキュリティにおけるDRMとPCNの増加が見られるでしょう。組織は、ゼロトラスト原則に準拠した一貫したポリシーの下で、メール、ファイル転送、コラボレーション、MFT、ウェブフォームを統一するために中央集権的なプラットフォームに移行します。
良い点は、Kiteworksが提供するPCNが、高度な脅威防止、堅牢なアクセス制御、詳細な監査ログ、安全な大容量ファイル転送など、多くの予測に対応し、センシティブコンテンツリスクを管理するのに役立つことです。Kiteworks対応のPCNを実際に見るには、カスタムデモを予約してください。