コンテンツセキュリティとコンテンツアクセスを詳細なガバナンスでバランスさせる

すべてのCISOは、セキュリティなしにプライバシーは存在し得ないが、プライバシーなしにセキュリティは存在し得ることを知っています。多要素認証、データ暗号化、および脅威対策は外部の脅威から守りますが、機密コンテンツが認可されたユーザーによって正しく取り扱われることを保証するものではありません。拡張されたエンタープライズ全体のユーザーは、機密コンテンツへの簡単なアクセスを期待する一方で、完全な機密性も期待しています。つまり、プライベートなコミュニケーションで構成された透明なコラボレーションです。

CISOは、機密コンテンツの保護とそれを共有する圧倒的な必要性とのバランスを取りながら、セキュアなファイル共有を可能にし、アクセスを容易にしつつ侵害を防ぎ、透明性とともにプライバシーを確保し、効率的なコミュニケーションを妨げることなく複雑な規制に従う必要があります。各トレードオフにはリスクが伴います。このブログシリーズでは、これらのトレードオフを探り、拡張されたエンタープライズ全体での作業を可能にし、最も機密性の高いデジタル資産を保護するためのセキュアなコンテンツ共有チャネルを作成するための6つの指針を提供します。

前回のブログ投稿では、コンテンツへのシンプルでシームレスなアクセスを提供することに関連する落とし穴について共有しました。今日は、機密コンテンツへの簡単なアクセスを提供しつつ、そのコンテンツが完全な機密性をもって共有されることを保証するという組織の課題について議論します。

ユーザーロールを理解してポリシーコントロールを強化する

機密性は、強力なコンテンツコミュニケーションガバナンスの結果であり、認可されたユーザーのみが特定の方法で特定のコンテンツにアクセス、変更、共有できることを保証します。ネットワークレベルでは実施できません。ほとんどのセキュリティコントロールが実装されている場所ですが、誰が、何を、どこで、いつ、どのようにという情報が必要だからです。これはユーザーアプリケーションコンテンツレベルで実施する必要があります。なぜなら、そこにこの情報が存在するからです。たとえば、財務マネージャーが収益発表前に監査済みの財務諸表を公に共有するのを防ぐには、ユーザーロール、コンテンツタイプ、リクエストのタイミングを理解する必要があります。これらの要件は、すべてのユーザー共有エンドポイントとすべてのコンテンツリポジトリへの接続を求める以前のブログ投稿で述べた完全な可視性の要件を反映しています。今や、単なる接続以上のものが必要です。機密性にはコントロールが必要です。

完全なコンテンツ機密性には完全なコンテンツコントロールが必要

セキュアなコンテンツ共有チャネルは、ユーザーロールや特権、ファイルサイズ、タイプ、場所、読み書き権限、コンテンツの機密性など、さまざまな入力に基づいた非常に詳細なポリシーコントロールを持っている必要があります。病院でのファイルアクセスを考えてみてください。足病医が産科患者の記録にアクセスするべきでしょうか？受付係が患者の処方量を編集できるべきでしょうか？病院がHIPAAコンプライアンスを証明したいのであれば、そうではありません。これは、データを保存中に管理するための基準です。組織に出入りするデータを管理するためには、ポリシーコントロールに送信者、受信者、発信元、宛先、転送時間、利用可能期間などの共有メタデータを組み込む必要があります。ガバナンスが詳細であればあるほど、機密性を強化し、プライバシーと透明性のバランスを適切に取る能力が高まります。

次回の投稿では、組織が従業員が簡単にアクセスできる消費者向けクラウドアプリケーションを利用して独自のシャドーITを構築するのを防ぐ方法について議論します。組織が機密コンテンツをセキュアに共有することを簡単にしない限り、従業員はより手間のかからない、そしてまたセキュリティが低い代替手段を探すことを余儀なくされます。

機密コンテンツへの簡単なアクセスを提供しつつ、そのコンテンツが完全な機密性をもって共有されることを保証する方法について詳しく知るには、Kiteworksのカスタムデモを今すぐスケジュールしてください。