- 情報ガバナンスとコンプライアンス(IGC)
「情報ガバナンスとコンプライアンス」(Information Governance and Compliance)のソリューション・エリアでは、非構造化データに関して組織のポリシーや法的に沿うためのフレームワークを確立し、そして継続的にこのフレームワークに従っていることの確認が行えます。
IP/ パブリック、従業員 / クライアント / 下請け業者の個人情報(PII)、保持すべきの期間内外の分類など、すべての非構造化データの完全な分析
ファイルサービスの使用状況分析のセルフサービスポータルのアクセスを提供し、ポリシーや法的に違反の可能性のあるデータをハイライトし、そしてそのデータの所有者が適切なアクションをとれるように導くこと
組織文化に変化をもたらす能力。組織内の全てのユーザが、データに関するリスク軽減の責任を共有していることの理解促進。
鍵となる機能
以下の機能はIGCのみ利用可能です:
テキストファイル(xlsx, doc, ppt, txt など)の中身まで、特定の文字列検索や正規表現でスキャンできます。
解析の結果で、どのファイルに検索対象の文字列もしくはパターンが含まれているのかを明らかにし、そしてマッチした文字列の周辺テキストを表示することで、誤検知を迅速に特定できます。
機能例
データ保護
非構造化データでGDPRに取り組む方法
- さまざまなファイルタイプの多数のファイルをすばやくスキャンし、PIIを見つけることができる。
- 機密データを含むファイルが所属するのは誰であるか、組織のどの部分であるかを判別できること。
- ポリシーが守られていることを確認しながら、データコントローラー、データプロセッサー、およびDPOに機密データに関する情報を簡単かつ簡単な方法で配布できること。
GDPRは、個人データが保存されるすべてのタイプのシステムに適用されます。 ほとんどのGDPRプロジェクトは、構造化されたデータ、つまりデータベース、ドキュメント管理システム、CRMシステムから始まり、多くの場合それ以上先に進みません。 これらのシステムは一般にデフォルトで検索およびタグ付け可能であり、組織がPII(個人を特定できる情報)を構成するものを決定すると、ポリシーの実装は比較的簡単です。
非構造化データ(特にファイルデータ)は、すべて別の動物のようなものです。 さまざまな種類のファイルと形式があり、通常、データはさまざまなプラットフォームと場所に分散しています。 ファイルは必ずしも簡単に検索できるとは限らず、たとえコンテンツがファイルごとに異なって見えても、パターンを確立するのはより困難です。 それに加えて、ほとんどの組織は、ファイルがシステムまたはアプリケーションアカウントによって所有され、これらのファイルに関する情報をエスカレーションできるように階層構造が存在しないデータ所有権に関する適切なポリシーを欠いています。
非構造化データのGDPRコンプライアンスに取り組むには、次のことが必要です:
- 組織の機密データとPIIの構成要素に関するルールを定義します。例えばマイナンバー、住所情報、契約など
- 組織の非構造化データが存在する場所、社内のファイル共有、SharePoint、OneDriveなどを理解する。
- 情報が適切な人物によって処理されるように、データ所有権のシステムを確立および維持します。
- このデータを定期的にスキャンして、機密データを含む可能性のあるファイルを検出します。
- 機密データをどのように処理するか、どのシステムに何を保持するかなどに関するポリシーを確立します。
- 識別されたデータにタグを付け、この情報を組織内に配信して、データ所有者自身が機密データに対してアクションを実行、移動、削除などできるようにします。
- 機密データに関する情報を集約し、Data Stewards、部門長、および幹部に広めて、ルールが守られるようにします。
- 個人に関するどのような個人データが保持されているかを個人に知らせることができるワークフローを作成し、それに基づいてそのデータを正確に削除する可能性があります。
Northernは、非構造化データに関連するGPDRコンプライアンスを以下のように支援することができます:
- 環境の概要を説明します。例えば どのデータリポジトリにユーザー生成の非構造化データが含まれているか、誰がどのファイルを保存し、どこに保存されているかなど。
- たとえば最近の活動に基づいて、可能性のあるファイルと共有の所有者を見つける。
- ファイルのメタデータを収集して、潜在的な関心領域を特定します。
- ファイル内のテキストをスキャンし、特定の単語または正規表現を使用して、潜在的に機密情報を見つけます。
- データ所有者とデータ管理者に配布できる実用的なダッシュボードを作成します。
- GDPRおよびベストプラクティスに基づく機密データに関するポリシーの確立を支援します。
それほど単純ではありませんが、GDPRプロジェクトに非構造化データを含めることは、規制の要求に応えるために不可欠です。 非構造化データをより適切に処理することで、ROT(冗長、廃止、些細な)クリーンアップが可能になり、規制で規定されている範囲をはるかに超えてコスト効率が向上し、リスクが減少します。
最近ランサムウェアやマルウェアが多くの組織で問題になっています。Northernのお客様であれば、この問題への対処を支援するソリューションを既にお持ちのはずです。
Northernのソリューションを利用すると、以下が可能になります:
- ランサムウェアやマルウェアに関連するファイルタイプの保存を防止する。
- これらのファイルタイプが保存されようとした場合、セキュリティチームに通知する。
- 環境をスキャンして、すでに存在するファイルを見つけ、簡単に削除することができます。
“Northernのソリューションのおかげで、ニューヨークタイムズの1ページに載るような事態にはならずにすみました。”
- NSSをランサムウェア対策の1つのレイヤーとして利用する米国のお客様のコメント引用
Northernは、厳密にはセキュリティソリューションではありませんが、ランサムウェアに対する防御を強化するために、多くの企業を支援してきました。最近では、ある大手エンジニアリング会社が、ランサムウェアのファイル拡張子(.locky, .crypt1, .zeptoなど)を持つファイルの保存をブロックするリアルタイム監視ポリシーを導入し、感染を防止に努めることをNorthernで支援しました。さらに、継続的な感染の試みを通知するよう設定されたので、IT管理者はいつ、どこで、どのアカウントを通じて暗号化の試みが行われたかを即座に特定できるようになりました。
これは、ゼロトラストの時代にあっては、アンチウイルスソフトウェアなどのセキュリティソリューションの必要性を排除するものではありませんが、Northern社のソリューションは、ランサムウェアとマルウェアの予防にさらなるレイヤーを追加することができます。
NSSを利用してランサムウェア攻撃を妨害し、追跡する方法についての詳細を読むか、または組織の特定のニーズについてお気軽にご相談ください。
