ここでレベルを設定しましょう–ITですべてを実行する時間はありません。
さまざまなプロジェクトに関わっている場合、ファイルシステムのセキュリティの定期的な監査や、毎年の外部監査を行うことも不可能になってしまいます。時間がないだけです。
しかし、ファイルシステムは、Active Directoryからデータベースやアプリケーション、個々のデータファイル自体、そしてその間のすべてへのアクセスを保護するためのまさに基盤と言えます。
ファイルレベルのセキュリティ監査が適切でない場合、データセキュリティ基準により、コンプライアンス監査に失敗するだけでなく、注意しなければならないのは、攻撃の対象となるリスクが高まります。
しかし、実際のところ、IT部門でもファイルシステムアクティビティの監査を本当にやりたがっているでしょうか。おそらく誰もやりたいと思っていないでしょう。なぜなら少々退屈で、それに最先端のテクノロジーというわけでもなく、初歩的な感じがするからです。
しかし企業のセキュリティを確保するために重要で必要不可欠な部分です。また、ビジネスニーズの変化、従業員の出入り、アプリケーション、プラットフォーム、システムの変化に応じて、ファイルシステムのセキュリティも変化し、ある程度の注意が必要なセキュリティの基本的な側面の1つになります。
したがって、必要なのは、IT外部の人々を活用して、ファイルシステムの使用状況の監査を支援し、セキュリティの状態を判断する方法です。
IT外部の人々の活用
IT外部の幹部、または外部監査人への委任
実際にはIT環境のセキュリティ監査を知識のない誰かの手に委ねるわけではありません。テクノロジーに精通し、セキュリティを意識し、責任のある高いポストに就いているユーザーについて話しています。部門長や業務マネージャー、アプリケーションマネージャー、そしてパワーユーザーを考えてみてください。これらのユーザーには、ファイルのセキュリティを確保する上でいくつかのメリットがあります。
- 彼らは誰がどのデータが必要かを知っています
IT担当者では、「APユーザー」グループがサーバー上の「AP」フォルダにアクセスする必要があることを判断できるかもしれませんが、その部門のメンバーの名前もわからないケースが多く、 APフォルダの使用状況の確認や、異常なアクセス、不適切なユーザー、またはアクセス許可の誤用を発見したりするのは難しいです。このような判断を日常的にデータを操作しているユーザーに委任することは、データセットを使用しているユーザーに問題があるかどうかを発見するためには最適の選択です。 - ファイルシステムの実際の使用状況がわかります
委任されたユーザーは「通常の」アクセスがどのように見えるか分かっています。彼らはIT担当者よりも速く異常を見つけることができます。 - IT担当者の負担を軽減します
前述のとおり、IT担当者は時間があまりありません。また、特定のデータセットに近いユーザーの空き時間も同様にごくわずかですが、ワークフローを複数のユーザーに分散するとこで、各ユーザーのワークが小さくなり、頻繁にアドレス指定できるようになります。
次に、年次監査またはコンプライアンス監査の問題があります。通常、監査人は非常に具体的な質問を行いますが、もし彼ら自身が答えを探す方法を持っていれば、はるかに効率的です。 - トップから賛同を得てください
IT担当者だけがシステムに対して完全に責任を負わないため、経営幹部に理論的根拠、方法論、および企業にとってのメリットを説明し、経営幹部の承認を得る必要があります。そうすれば、これは組織全体のイニシアチブになり、「IT担当者が楽をしようとしている」という見方は払しょくできます。 - セキュリティを重視するユーザーを特定する
アラートを受け取るユーザーに、ファイルストレージ全体のファイルアクセスをチェックするように依頼することを忘れないでください。チェックが不十分だった場合のセキュリティへの影響を理解してもらい、タスクを完了するために十分な技術を持っているユーザーを選択する必要があります。 - 所有権の確立
これは、監査ログのレビューを担当するユーザーをたまに割り当てるだけではありません。これは、ファイルシステムのサブセットを与えるユーザーにセキュリティ分担を割り当てることです。つまり、使用するファイルシステムのセキュリティの最前線の一部になるということです。また、NTFS などの所有者として割り当てるという話ではありません。これは、ITのプロセスにユーザーを組み込むということです。 - レビュー頻度を確立する
各責任者に監査レポートを共有して、定期的にアクティビティをレビューする必要があります。また必要であれば、サードパーティソリューションのコンソールに定期的にログインして、そこでアクティビティを確認することも可能です。 - アラートの確立
疑わしいアクティビティを検知するためにアラート設定は重要ですが、注意しなければならないのは誤検知です。誤検知でアラートが氾濫してしまうことを防ぐために詳細な基準を設定する必要があります。 - フィードバックプロセスの設定
これは定期的なレビューとアラートの両方に適用されます。ユーザーは、「このアクティビティは不適切である」とIT担当者にフィードバックして、IT担当者側がフォローアップできるようにするための手順を確立する必要があります。
委任:生産性とセキュリティに優れている
日常的にファイルにアクセスしている場合、ユーザーのアクセス(またはアクセス許可の使用)が適切であるかどうかをよく理解しています。IT担当者では、どのユーザーがどのアクセスを必要としているか、またはファイルの使用が適切かどうか、そしてそれらが時間経過やチームの変化とともにどのように変容していくかを十分に理解する立場にありません。
したがって、ファイルシステムへのアクセスを監査する権限を、部門の責任者に委任することで、IT担当者の作業の負担を軽減するだけでなく、セキュリティ面でも安全性が高くなります。
ファイルシステム監査のための委任を確立するためには?
IT環境のセキュリティに関わるため、無責任にユーザーに権限を委任することはできません。また、特定のユーザーに権限を委任するだけで、委任されたユーザーが実際に作業をうまくできるとは限りません。
必要なのは、(技術/セキュリティの観点だけではなく)ビジネスの価値の観点からこれに取り組むことです。委任は下記の手順で進める必要があります。
ここで、「なぜ監査を委任するだけなのか」という疑問を持たれるかもしれません。最も単純な理由は、ファイルへのアクセスが正しいかどうかを判断できるユーザーに委任することで得られる精度と、IT担当者が権限の割り当てに変更を加えることだけでセキュリティを維持することのバランスをとることです。
FILEAUDITによる委任によるセキュリティ
IT部門がユーザーベースを活用して、より安全な環境を構築できる時が来ました。対象のファイルに日常的に接しているユーザー(またはリソース)に権限を委任することで、不適切なアクティビティをすばやく特定することにより、組織全体のセキュリティを強化して生産性を向上させます。
Windowsシステムドメインの場合、IT外部、または外部監査人の幹部でも、FileAuditの機能と使いやすさを利用して、セキュリティプロトコルに違反することなく自律的に監査と制御を実現します。