データ漏洩防止はまだ「未熟すぎる」

来年に行われるプライバシー法の大きな変更により、多くの企業はデータ漏洩防止(DLP)技術を模索しています。

トレンドマイクロのプレミアムサービスマネージャーAdam Bivianoによると、金融サービス、法務および通信業界の顧客は、Leakproofと呼ばれるDLPソリューションに最も関心があり、今年初めに同社のProvillaを買収したことに由来しています。

Biviano氏によると、金融セクターの主要な要因は、企業が特定の情報の流れを内部的に管理することを要求するPayment Card Industry(PCI)基準です。

[PCI標準]証明書の一部には、あなたのコントロール内の情報を理解し、会社内での動きを制限する必要があることが義務付けられています。違反がある場合は、対処するための文書化されたプロセスが必要です」とBiviano氏は述べています。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

トレンドマイクロだけがDLPの利点を宣伝するベンダーではありません。 Symantec、Websense、EMCはすべて、過去1年間で買収を行い、リーク防止ソリューション市場の成長を予測しています。

シマンテックは、今週、3億5,000万ドルのデータ漏洩防止企業であるVontuの買収を完了しました。今年1月、Websense社はDLPベンダーPortAuthorityを買収した。昨年ストレージ大手のEMCはTablus、さらに最近ではデジタル著作権管理会社Authenticaを買収した。

不遵守のための銀行への費用は、2005年のメルボルンカップの日にWestpacの従業員が報告した誤りによって説明することができます。

Westpacは、従業員が前年度の利益成績を含むExcel文書をアナリストに電子メールで送信した後、取引を停止することを余儀なくされた。問題は、当時の当行の現時点で28億2000万豪ドルの利益の結果が文書に埋め込まれていたことで、昨年の業績のテンプレートの中に隠されていたことです。これはオーストラリア証券取引所に最初に提出される予定でした。

顧客のデータを保護することも、来年のデータ公開ルールが導入される可能性が高いため、アジェンダでは高く評価されています。

オーストラリアの法改正委員会のディスカッションペーパーでは、データ漏洩を個人情報の盗難に明示的にリンクさせています。不十分なデータ保護のために違反が発生した場合、大量の罰金を引き渡すことによって、新しい法律がデータ処理の誤りを最小限に抑えることが期待されています。

一部の銀行は、DLP技術を導入することにより、新しい法律を策定しています。

ナショナル・オーストラリア・バンクの技術リスクとセキュリティ担当ゼネラル・マネージャー、ゲイリー・ブレアは、お客様の顧客データの機密性を常に守ることが第一の義務であることを否定することはできません。

NABは、この目的のためにDLP技術を検討している、とブレア氏は指摘する。しかし、技術をあまりにも未成熟だと考えているので、彼はまだ投資することを望んでいない。

私たちは常に[DLP]を見ていますが、すべてのテクノロジでは、「成熟したテクノロジ」として分類されるドメインと「進化するテクノロジ」であるDLPテクノロジが進化していると考えられるドメインに分類されるものがあります。

NABの労働力がより分散するにつれて、DLP技術はピアツーピアコラボレーション技術の信頼モデルにおける現在のギャップを埋める可能性を秘めています。

現在、多くの技術、特にピアツーピアのような技術は、成熟した信頼モデルをまだ整備していません」とBlair氏は言います。「時間が経つにつれ、これらの技術はロードマップの一部になります。これらのテクノロジーを安全に導入する

私の見解では、DLPは情報管理ソリューションであり、MicrosoftやEMCがこの技術を文書管理や変更管理システムに組み込んだときには意味をなされます」

本当にDLPは単なる安全ネットです。私は、このスペースを見ている人は、どんな問題に取り組んでいるのか考える必要があると思います。

あなたがインサイダー攻撃の誇大宣伝に夢中になっているなら、あなたはその中に誰かがいることを証明するいくつかのデータを持っているほうがいいでしょう…しかし、インサイダー攻撃はオーストラリアではあまり一般的ではないようです。誰かが不注意になった結果、 “ターナーは言った。

DLPソリューションを今日、特に高度に連携した環境向けに展開する際のもう1つの問題は、2つの異なるDLPシステム間の相互運用性の問題です。このシナリオでは、企業はセキュリティのために情報の可用性を犠牲にすると考えています。

Trend MicroのBivianoはTurnerの相互運用性について主張することはできませんでしたが、企業は内部情報フローを最初に制御する必要があると考えています。

内部データ管理が制御されると、DLPベンダーは標準の確立方法を探ることが理にかなっています。その後、組織外のデータ移動ポリシーを見ることができます。

しかし、ベンダー、アナリスト、技術バイヤーは、DLP技術の導入時期と方法について意見を異にするかもしれないが、政策と教育は重要な役割を果たすべきだということにすべて同意している。

多くの組織が所有している情報の種類を定量化しておらず、社内でどのように動いているのか、社内外に流れるのかを認識していません」とBiviano氏は述べています。

DLPソリューションを実装するには、情報ポリシーを定義することと連携する必要があります。たとえば、次のようなものがあります。彼が追加した。

IBRSのTurnerは、組織がベンダーからの緊密な統合を待つ間に、従業員の行動や知識の変更を開始することを推奨しています。

最善の解決策は、エンドユーザーに何をしているのか、情報の価値とその責任を理解する方法を知らせることです。

「EMC、Oracle、Microsoftなどのベンダーが統合すると、定期的に行っているプロセスに合わせてユーザーがより多くのテクノロジを受け入れることができるようになります」とターナー氏は付け加えました。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン