州および地方政府機関向けのセキュアなファイル共有

機密情報の保護は、州および地方政府機関にとって最優先事項です。サイバー脅威の増加と協力と効率性の必要性が高まる中、セキュアなファイル共有ソリューションへの投資がこれらの機関にとって重要になっています。米国国土安全保障省（DHS）は、州、地方、領土（SLT）政府がサイバーセキュリティの態勢を評価し改善するために、2022年9月に州および地方サイバーセキュリティ助成金プログラム（SLCGP）を設立しました。SLT機関は、これらの資金の一部をセキュアなファイル共有に投資し、システム内の機密コンテンツ通信を保護することが重要です。この記事では、州および地方政府機関における機密コンテンツの保護の重要性に焦点を当て、セキュアなファイル共有ソリューションを導入するための重要な考慮事項を探ります。

州および地方サイバーセキュリティ助成金プログラム（SLCGP）の概要

SLCGPは、州および地方政府機関のサイバーセキュリティ態勢を強化することを目的とした国土安全保障省のイニシアチブです。資格のある機関は、潜在的なサイバー脅威から機密データを保護することを含む、サイバーセキュリティ能力を向上させるための資金を受け取ります。

SLCGPの下でどれくらいの資金が利用可能ですか？

議会は2022会計年度（FY）にSLCGPに2億ドルを割り当て、そのうち1億8500万ドルがプログラムに、600万ドルが部族サイバーセキュリティ助成金プログラムに、850万ドルがDHSによる助成金の管理に充てられました。2023会計年度には、議会は4億ドルを割り当て、申請プロセスは2023年春の終わりに始まりました。超党派インフラ法の配分式には、各州および領土のための基本的な資金レベルが含まれています。州、コロンビア特別区、プエルトリコの配分には、総人口と農村人口の組み合わせに基づく追加資金が含まれています。州および領土の州行政機関のみが申請資格を持ちます。さらに、2つ以上の資格のある団体が、複数団体グループとして共同で支援を申請することができます。

組織はSLCGP資金のためにサイバーセキュリティ計画に何を含める必要がありますか？

機関のサイバーセキュリティ計画がSLCGP資金の要件を満たすために、国土安全保障省はサイバーセキュリティ計画が以下の原則に対応することを要求しています：

これらの原則は、組織の特定のニーズと要件に合わせて調整する必要があります。進化する脅威や技術に適応するために、サイバーセキュリティ計画の定期的な更新が必要です。優れたセキュアなファイル共有ソリューションは、これらの原則のほとんどに対応できます。

政府機関におけるセキュアなファイル共有の導入の利点

州および地方政府機関は、個人識別情報および保護対象保健情報（PII/PHI）、知的財産、刑事司法情報など、膨大な量の機密情報を扱います。この情報を保護することは、市民や政府職員のプライバシーとセキュリティを維持するために重要であり、特に重要インフラを含む政府財産を保護するために重要です。セキュアなファイル共有ソリューションへの投資は、SLT機関に以下の利点を提供します：

セキュアなファイル共有はメールとファイルコンテンツのセキュリティを確保します

政府機関は、扱う膨大な量の機密情報のためにサイバー犯罪者にとって魅力的な標的です。ランサムウェア攻撃やフィッシング詐欺など、サイバー脅威の巧妙化は、政府コンテンツの機密性と整合性に対する重大なリスクをもたらします。セキュアなファイル共有ソリューションは、これらのリスクを軽減するのに役立ちます。

機密コンテンツへの無許可のアクセスは、データ侵害を引き起こし、評判の損失、財務的損失、潜在的な法的結果をもたらす可能性があります。セキュアなファイル共有ソリューションは、暗号化やアクセス制御などの堅牢なセキュリティ対策を提供し、無許可の個人が機密データにアクセスするのを防ぎます。

セキュアなファイル共有は協力と効率を向上させます

州および地方政府の円滑な運営には、異なる部門や機関間の効果的なコミュニケーションと協力が不可欠です。しかし、政府機関は常にセキュリティと生産性のバランスを取るという課題に直面しています。厳格なセキュリティ対策は重要ですが、過度に厳しい場合、協力を妨げ、プロセスを遅らせます。セキュアなファイル共有ソリューションは、ユーザーフレンドリーなインターフェースとデータセキュリティを確保しながら生産性を維持する機能を提供することで、この課題に対処します。

ほとんどのセキュアなファイル共有ソリューションは、生産性を損なうことなく法的義務を果たすのに役立つ機能を提供します。たとえば、セキュアなファイル共有ソリューションは、ドキュメントのリアルタイムコラボレーションを促進し、従業員が効率的に協力して機関の生産性を向上させることを可能にします。ユーザーは編集を行い、コメントを残し、変更を追跡できます。セキュアなファイル共有ソリューションは、異なる部門や機関の従業員がファイルや情報を簡単に共有できるようにします。これにより、コミュニケーションが効率化され、手動でのドキュメント交換の必要がなくなり、時間とリソースを節約できます。

セキュアなファイル共有は組織が規制コンプライアンス要件を満たすのを助けます

政府機関は、医療保険の相互運用性と説明責任に関する法律（HIPAA）、カリフォルニア州消費者プライバシー法（CCPA）、およびPCIデータセキュリティ基準（PCI DSS）などのデータおよび消費者プライバシー規制を遵守する義務があります。これらの規制を遵守しないと、厳しい罰則が科される可能性があります。セキュアなファイル共有ソリューションは、これらの規制コンプライアンス要件を満たすために必要なセキュリティ対策を提供します。これらの要件を遵守することは、機密データを保護し、公共の信頼を維持するために必要です。

セキュアなファイル共有ソリューションの主な機能

セキュアなファイル共有ソリューションは、さまざまな主要機能を提供します。これらは一緒に機密コンテンツを保護し、ファイルの安全な送信と保存を確保します。また、組織やSLT機関がセキュリティおよびコンプライアンスの目的でユーザー活動を監視および追跡できるようにする必要があります。これらの機能には以下が含まれます：

エンドツーエンド暗号化はPIIをメール全体の旅を通じて保護します

エンドツーエンド暗号化は、データが送信中および保存中に暗号化されたままであることを保証し、無許可の個人には読めないようにします。エンドツーエンド暗号化は、データが送信者のデバイスで暗号化され、意図された受信者のみが復号できることを意味します。データは転送中および保存中に暗号化されたままであり、傍受された場合でも、無許可の個人にはアクセスできず、理解されません。これにより、追加のセキュリティ層が提供され、潜在的なサイバー攻撃から機密コンテンツを保護します。

ユーザー認証とアクセス制御は機密コンテンツへのアクセスを制限します

パスワード、生体認証、多要素認証などの強力なユーザー認証メカニズムは、無許可の個人が機密コンテンツにアクセスできないようにします。対照的に、詳細なアクセス制御は、特定のファイルやフォルダーにアクセスできる人を指定することで、データの露出をさらに制限します。通常、役割や責任に基づいて指定されます。詳細なアクセス制御は、データの露出を必要な人に限定し、無許可のアクセスや偶発的なデータ漏洩のリスクを減らします。ユーザーの役割や権限に基づいて異なるレベルのアクセスを提供することで、機関は機密コンテンツが許可された職員のみがアクセスできるようにします。

セキュアなファイル転送プロトコルはデータプライバシー規制に準拠しています

利用可能なセキュアなファイル転送プロトコルには、SSL/TLS（FTPS）上のFTP、SSHファイル転送プロトコル（SFTP）、ハイパーテキスト転送プロトコルセキュア（HTTPS）などがあります。各プロトコルには独自の強みと弱みがあり、機関は自分たちのニーズに最も適したものを選択する必要があります。セキュアなファイル転送プロトコルを選択する際、組織は必要なセキュリティレベル、既存のインフラとの互換性、使いやすさ、GDPR、HIPAA、CCPAなどに記載された規制コンプライアンス要件を満たしていることを考慮する必要があります。

監査ログと活動監視は潜在的なセキュリティ侵害を特定します

監査ログは、ファイルのアクセス、変更、転送の記録を提供し、機関が正当なファイル活動を追跡し、疑わしいまたは無許可のファイル活動を調査することを可能にします。ユーザー活動の監視は、潜在的なセキュリティ侵害を特定し、ガバナンスおよび業界標準への準拠を確保します。

セキュアなファイル共有ソリューションを導入する際の考慮事項

セキュアなファイル共有ソリューションを選択する際、州および地方政府機関は、セキュリティ、使いやすさ、費用対効果などのさまざまな要素を考慮する必要があります。これらは、機関のニーズ、特定のセキュリティおよびコンプライアンス要件、既存のインフラの評価に先行する必要があります。これらの要素には以下が含まれます：

組織のファイル共有ニーズを評価する

セキュアなファイル共有ソリューションを導入する前に、州および地方政府機関は、特定のビジネス、セキュリティ、コンプライアンスのニーズを評価する必要があります。これには、扱う機密コンテンツの種類と共有する相手の特定、ストレージ要件の理解、導入プロセスに影響を与える可能性のある既存のインフラの制限の評価が含まれます。

機密データの種類とそのストレージ要件を特定する

機関は、PII、PHI、契約、メール通信、刑事司法情報など、扱うさまざまな種類の機密コンテンツを特定する必要があります。各コンテンツタイプには、暗号化や制限されたアクセスなど、特定のストレージ要件がある場合があります。これらのストレージ要件を理解することは、効果的なセキュアなファイル共有ソリューションを導入する上で重要です。

既存のインフラの制限を評価する

州および地方政府機関は、既存のITインフラを評価し、セキュアなファイル共有ソリューションの導入に影響を与える可能性のある制限があるかどうかを判断する必要があります。この評価には、ネットワーク容量、ストレージ能力、既存のソフトウェアアプリケーションやシステムとの互換性などの要素を考慮することが含まれます。制限を特定することで、機関はスムーズな導入プロセスを確保するために必要なアップグレードや調整を計画できます。

セキュリティ、使いやすさ、費用対効果のバランスを取る

セキュリティは最重要ですが、機関はソリューションの使いやすさと費用対効果も考慮する必要があります。ソリューションはユーザーフレンドリーで直感的であり、従業員がプラットフォームを簡単に採用し、操作できるようにする必要があります。また、費用対効果が高く、機関の投資に価値を提供し、予算の考慮事項と一致する必要があります。

従業員にセキュアなファイル共有のベストプラクティスを訓練する

セキュアなファイル共有ソリューションを導入するには、機関の従業員の参加と協力が必要です。成功した（広範な）採用を確保するために、機関は従業員にセキュアなファイル共有のベストプラクティスとデータセキュリティの重要性を訓練する必要があります。これには、トレーニングプログラム、ワークショップ、情報提供資料を通じて達成できます。トレーニングプログラムは、パスワード管理、フィッシング試行の認識、強力な認証の重要性の理解などのトピックをカバーする必要があります。

ユーザーフレンドリーなインターフェースを通じて採用を促進する

採用を促進するために、機関はセキュアなファイル共有ソリューションを簡単に操作できるユーザーフレンドリーなインターフェースを提供する必要があります。それ以外の場合、従業員は消費者向けの非承認の「シャドーIT」ソリューションを使用することを奨励されます。従業員は、複雑さに遭遇することなく、ファイルを簡単にアップロード、ダウンロード、共有できる必要があります。ユーザートレーニングプログラムは、従業員にソリューションの機能を習熟させ、質問や懸念に対処するための継続的なサポートを提供する必要があります。

Kiteworksのセキュアなファイル共有は州および地方政府機関のコンテンツを保護します

Kiteworksのプライベートコンテンツネットワークは、州および地方政府機関に、ユーザーと構成員、提携機関および組織、システム間で機密コンテンツとファイルを安全に交換するためのセキュアなファイル共有ソリューションを提供し、規制コンプライアンス、データガバナンス、情報セキュリティを確保します。Kiteworksを使用することで、州および地方政府機関は、強化された仮想アプライアンスを利用して、内部および外部で機密コンテンツに安全にアクセスし、送信し、受信できます。Kiteworksは、オンプレミス、プライベートクラウド、ハイブリッドクラウド、ホスト型、FedRAMP仮想プライベートクラウドなど、さまざまなセキュアな導入オプションを提供します。

Kiteworksプラットフォームは、すべてのファイル活動の包括的な監査ログも提供し、管理者が誰がどのファイルを誰に、いつ、どのように送信したかを追跡できるようにします。Kiteworksはまた、機密コンテンツへの詳細なアクセス権限を提供し、許可されたユーザーのみが機密情報にアクセスできるようにします。これにより、無許可のアクセスを防ぎ、データガバナンスを確保し、データガバナンスポリシーおよび業界規制への準拠を確保します。

Kiteworksとプライベートコンテンツネットワークが州および地方政府機関が機密コンテンツを共有する際にどのように保護するかについて詳しく知るには、今日カスタムデモをスケジュールしてください。