リスク軽減

情報漏洩、サイバー攻撃、データプライバシー保護規制―あなたの組織のデータには必ず機密情報が含まれています。機密情報の所在を把握し、起こりうるリスクに対処し、ポリシーの遵守を徹底することでファイルデータに関するリスクを軽減できます。

01

Business Needs

コンプライアンスとデータ保護の向上

サイバー攻撃の脅威が加速し、急速に規制環境が厳しくなるに従って、データ保護とコンプライアンス戦略がビジネス上でクリティカルな決定に変わってきています。

組織内で最もカオスであり、流動的な情報リポジトリである非構造化データは、同時にデータ保護とコンプライアンスチームにとっては最も重要であり、かつ最も管理しにくいものです。

02

Recommendations

Insights & Recommendations

Identify & Remedy Dangerous Working Practices

組織的なレコードのユーザ操作の改善

Targeted Behaviour

レコードの作業コピーは安全でない場所に放棄されています。

Directive

編集や参照をするためにレコード管理システムから一時的に取得されたファイルは、編集が完了した後、レコード管理システムに正しく返却されなければならず、作業が完了したときにすべての参照コピーを削除する必要があります。
レコードは、ホームドライブ、SharePointサイト、Office365ファイル共有、またはNASストレージに無制限に保存しません。 レコードは、通常指定された記録管理システムにのみ保存します。

Policy Requirements

  • 最近7日間の間にアクセスもしくは変更されていない、「顧客番号」、「従業員番号」、「サプライヤ番号」、マイナンバー、クレジットカード番号、および/またはその他の特定のPII / PCIデータを含むファイルについて週に一度スキャンします。
  • 疑わしいレコードが特定されたときにデータスチュワード/レコードマネージャーに通知します。
  • データスチュワード/レコードマネージャーがファイルリストをレビューし、適切な処置を実行するよう要求します。

Identify & Remedy Dangerous Working Practices

機密性の高い求人データを不必要に保持することを避ける

Targeted Behaviour

募集の過程で集められたカバーレターと履歴書は、管理者のホームドライブ内に保持されています。 これらのファイル内の機密データは適切に保護されていません。

Directive

職員採用活動中に入手されたカバーレターと履歴書は、その職が満たされた直後に破棄されなければならなりません。 管理者が将来参照するためにこれらの文書を保持したい場合は、専用の場所を提供することができます。

Policy Requirements

  • ホームドライブ(O365ファイルストレージを含む)は毎月スキャンされます。
  • 関連する文字列/パターン(マイナンバー、 “CV”など)を含むファイルが識別されます。
  • 識別されたファイルの所有者に通知され、問題のファイルを削除するように要求され、組織的な指導をリマインドします。

Identify & Remedy Dangerous Working Practices

ファイル内のパスワード詳細の保存方法を削除する

Targeted Behaviour

ユーザが、個人用のパスワードと、アプリケーションおよびサービスアカウントのログイン情報をファイル共有に保存しています。

Directive

ユーザは、専用システム(KeePass)にすべてのログイン資格情報(個人アカウントのユーザ名とパスワードを含む)を保存する必要があります。 IDやパスワードの情報は暗号化の有無にかかわらず、他の方法でファイルに保存されることはありません。

Policy Requirements

  • ファイル共有とO365ファイルストレージは月に1回スキャンされます。パスワードとユーザIDに関連付けられたテキスト文字列を含むファイルが識別されます。識別されたファイルの所有者に通知され、ファイルの内容を確認するように依頼し、組織的な指導を図ります。

Identify & Remedy Dangerous Working Practices

機密性の高い年次レビュー・データの確実な破棄

Targeted Behaviour

給与情報のような繊細な個人データは、毎年のアニュアルレビュー面接などの参考にするため、毎年管理職に配布されている。ただこれらのファイルは、面接の終了後も、適切に削除されておらずそのままになっている。

Directive

年次レビュー面接を支援するために提供された従業員情報は、完了後、削除されなければならない。履歴情報は要求に応じて提供されるため、管理者が独自に保持すべきではありません。

Policy Requirements

  • ホームドライブ(O365ファイルストレージを含む)および共有フォルダは毎月スキャンされる。
  • 関連する文字列/パターン(”Annual Review”、”Salary”、従業員番号)を含むファイルが識別される。
  • 特定されたファイルの所有者は通知され、問題のあるファイルを削除するよう求められ、組織的な指示について再確認される。

Delivering on Specific Audit Requirements

レコード(記録)が正しく配置されていることを確認するためのテスト

Targeted Behaviour

レコードが配置されるべき場所のための書面によるポリシーの遵守が、積極的に監視されていません。

Directive

ユーザおよびデータスチュワードが、標準に従ってPIIまたはPCIデータを含むファイルが正しく配置しているかどうかを確認するためにテストを実行する必要があります。

Policy Requirements

  • PIIまたはPCIデータが含まれていると疑われるファイルが、SharePointサイトまたはOneDrive for Businessファイルストアに格納されているかどうかを確認するために、週単位でテストを実行する必要があります。
  • 「顧客番号」、「従業員番号」、「サプライヤ番号」、社会保障番号、クレジットカード番号の存在があるということは、テストが失敗したことを意味します。
  • 各テストの結果はレコードマネージャに送信されます。
  • テストは毎月のスケジュールで実行され、レコードマネージャおよびデータセキュリティ担当者はアドホックベースで実行します。

Delivering on Specific Audit Requirements

法的保留要求に対応するためのワークフロー

Targeted Behaviour

特定の人物、プロジェクト、製品、または事例に関するデータを法的保留に置くという要求は十分に成就されていません。データの内容を十分に把握していないと、不必要に大量のデータが隔離され、関連するデータが除外されてしまいます。

Directive

法的保留の対象となるファイルを特定するための科学的方法が必要です。過剰なデータが法的保留に置かれている場合、組織は不必要な(そして重要な)インフラストラクチャとサービスコストにさらされています。同様に、もし組織が関連するファイルを紛失してしまうと、法的義務を履行していないことになります。ファイルの内容を照会し、関連する文字列の存在を識別する能力が必要です。

Policy Requirements

    • 法務部門は、個人、会社、ケースなどに接続されているすべてのデータを法的に保持する必要があることをアナウンスします。
  • IT部門は、関係するデータスチュワード(ビジネスユニットマネージャー、部長、レコードマネージャーなど)を特定し、関連する権限、保存方針などによる隔離場所を作成します。
  • データスチュワードは、スキャン(テキストマイニング)を必要とする人、会社、ケースなどに接続されたファイルのデータレポジトリのリストを提供します。スキャンは設定され、実行されます。
  • データスチュワードは、データが収集されたときに通知を受け取り、ファイルリストをレビューします。そして例えば関連ファイルを隔離に移動します。

05

Other

More of what we deliver

コスト削減

クラウドであれ、オンプレミスであれ、組織のデータを保管するにはコストがかかります。ROT(内容が古くて使い物にならない、重複が多いなどビジネス上利用価値がない)のようなデータ・カテゴリーを指定して削除し、その他のカテゴリーをアーカイブすることで、コストを大幅に削減することができます。

効率向上

データは絶え間なく増加し、ほとんどの場合、制御不能な状態で増加します。データの所有者やそのデータを利用するユーザの効率は、データがますます無秩序になるにつれて低下します。ファイル・データを洞察し管理することで、データ所有者やデータに関連するリスクを管理する人々の効率を向上させることができます。

企業責任・CSR

社内外に関わらずITサービスにはCSRの促進機能を組み込む必要があります。例えば、異なるファイル・サービスの環境影響を測定・比較し、改善のための行動を起こせるようになることは、もはやオプション的な能力ではなく必要な能力と言えます。

Northern Parklife icon

Let’s take control over your data management

We accelerate the goals of growth stage companies by providing the expertise and experience they need to hit their next stage of growth faster.
Contact Us
Contact Us