ブログ | CTO オフィス

データセキュリティと自動化の間の緊張を緩和する

自動化は企業内のデータセキュリティと相反します。 なぜ?

問題の核心

自動化は機械の力を活用して生産性を向上させます。 人間の情報作業員 1 人分の料金で、クラウド内のかなりの数のサーバーを購入またはレンタルできます。 しかし、特にマシンが動作する速度と量で企業データにアクセスすると、そのデータの増殖と漏洩のリスクを軽減するために作成され施行されている無数のポリシーに違反することになります。 最近、自動化を構築しているときに、これらの相反する力に遭遇しました。

自動化により、視聴者の指標を含む内部 Web ページがいくつか収集され、一連のスプレッドシートに挿入されます。 次に、スプレッドシートはネットワーク フォルダーに移動され、2 番目の自動化によって新しいファイルが検出され、指定された場所にアップロードされます。同僚は、注意が必要なアクティビティや傾向を記録します。 大好きです。 その後、数週間にわたって正常に実行された後、セキュリティ シークレットの有効期限が切れたために失敗しました。 当社のデータ アクセス ガバナンス ポリシーでは、特定のシステム資格情報を定期的に期限切れにすることが義務付けられています。 セキュリティには良いです。 資格情報の有効期限が切れると自動化が中断されます。 生産性に悪影響。

生産性とセキュリティの緊張

セキュリティ シークレットを定期的に期限切れにすることは明らかにベスト プラクティスですが、そのために何か問題が発生する必要があるのでしょうか? 自動化により、私のチームの時間が大幅に節約されますが、それは単に 1 つの場所からデータを読み取り、別の場所で簡単に分析できるように再フォーマットするだけです。 自動化は、本当に人間である私と同じレベルの権限で実行する必要があるのでしょうか? どこかに妥協点があるはずだ。

妥協

妥協案として考えられる 2 つの選択肢を以下に示します。

オプションA

有効期限の 5 日前に警告を発し、何かが壊れる前に更新する時間を与えます。

オプションB

必要最小限の権限で、自動化タスクに固有のサービス資格情報を発行します。

生産性セキュリティグラフィック

自動化を別のタイプのユーザーとして扱う

どちらのオプションも組織のデータ セキュリティ要件を尊重しており、ビジネスとセキュリティ運用 (SecOps) 間の可視性とコミュニケーションを少し向上させることで、慎重かつ効果的なソリューションが可能になります。 少しの合理的な妥協により、データ セキュリティの必要性と生産性向上の自動化との間の緊張が緩和され、ほとんどの場合、どちらの側も損失がなく、ビジネスが勝利することになります。

自動化により、マシン ワーカーと呼ばれる新しいユーザーが企業ガバナンスに導入されます。 セキュリティ ポリシーと自動化の実装者を結び付けます。 この新しいユーザーを認識し、その実際の要件をより詳細に考慮する組織は、ゼロサムの緊張から逃れ、より安全なデータ使用方法を確立し、生産性向上テクノロジーがもたらすビジネス上の利益を実現します。