データセキュリティとは、データを盗難、削除、破損から保護することに関連したセキュリティの一分野です。ビッグデータの価値が急速に高まっている今日のビジネス環境で、データセキュリティの実践は不可欠になりつつあります。顧客情報、財務情報、知的財産など、いずれのデータであっても、データのセキュリティと完全性を維持することは基本的なビジネスプラクティスです。
データセキュリティに関するインシデントは増加傾向にあります。ハッキングの被害を受けたデータの件数は、2021年1月だけで2017年全体を上回ります。それ以降、2021年はデータ侵害に関する数々の負の記録を更新しています。今日、データはあらゆるビジネスの生命線であり、その喪失や盗難は甚大な被害をもたらす可能性があります。データの具体的な保護方法はさまざまですが、いずれにしても、データセキュリティには優れたビジネス戦略と適切なテクノロジーを組み合わせる必要があります。
この記事では、データセキュリティの重要性、データセキュリティに関する主な法規制、セキュリティとプライバシーが重なり合う領域、組織のデータを守るための具体的な方法とセキュリティ技術について説明します。
データセキュリティが重要である理由は、データが計り知れない価値を生むからです。通常はどの組織も、戦略計画、顧客情報、競合分析、知的財産、個人情報などの機密情報をデジタル形式で保持しています。これらのデータが失われたり競合他社の手に渡ったりすると、同じデータを再び手に入れるには膨大なコストがかかります。
データはリスクに関するコストも生みます。データを漏えいまたは紛失すると、厳しい罰金が科される可能性があります。事業に支障をきたすような深刻なデータ漏えいが起こると、多大なコストが発生するだけでなく、ブランドイメージや評判の低下、顧客からの信頼の喪失、改善費用などの副次的なコストも膨らみます。
さらに、あらゆる組織が直面する問題として、ランサムウェアなどのサイバーセキュリティ攻撃があります。特にランサムウェア攻撃では、悪質なアルゴリズムによって組織のデータが暗号化され、それを「人質」として身代金が要求されます。身代金を支払えば(そして運が良ければ)暗号化が解除されデータを取り戻すことができます。身代金を支払うことを選択する組織もありますが(400万ドルもの大金を支払った例もあります)、支払いを拒み、データを自力で復元するか、そのデータなしで事業を続ける組織もあります。ランサムウェア攻撃を無視してもコストはかかります。米国メリーランド州ボルティモア市は、身代金7万6,000ドルの支払いを拒み、データを自力で復旧することを選択しましたが、その作業にかかった費用は1,820万ドルに上ると推定されます。
データを脅かすリスクは数多くあります。データセキュリティに関する特に重大な脅威には以下のものがあります。
- マルウェア:マルウェア攻撃には、単純なウイルス感染から、最新のランサムウェア攻撃、フィッシングやソーシャルエンジニアリングといった巧妙な手口まで、さまざまなものがあります。いずれも攻撃者は、システムの脆弱性を突いて組織のネットワークに侵入し、データを盗み出します。
- ハードウェア障害:ハードドライブ、メモリーカード、テープなど、物理的なデバイスはいつかは故障します。ハードウェアが故障すると、そこに保存されていたデータも消失することになります。さらに、停電や自然災害もデータの喪失につながる可能性があります。
- IoTに対する脅威:最新のコネクテッド環境は利便性をもたらす一方で、攻撃の標的を急激に拡大します。IoTデバイスは、適切なセキュリティ対策をしないまま導入されたり、導入後にその場しのぎのセキュリティ対策が講じられたりすることもあります。
- バックアップ戦略の不備:バックアップは障害や自然災害への備えとして重要であるにもかかわらず、バックアップ戦略が不十分な組織は少なくありません。特に、オフラインへのバックアップとリストアプロセスの定期的なテストは必ず実施すべき重要項目です。
- デバイスの盗難/紛失:今日、ユーザーが使用するデバイスはデスクトップPCだけではありません。ノートPC、スマートフォン、スマートウォッチなどのモバイルデバイスも組織のデータへのアクセスに使用されます。モバイルデバイスが普及することで、日常業務が快適になる一方、攻撃の標的が大幅に拡大し、データの盗難や紛失のリスクが高まります。
- 設定ミス:クラウド環境で仮想サーバーを停止して設定変更を行う際に、意図せずデータを削除または破損してしまう可能性があります。
- 不注意によるデータの削除/消去:不注意でデータを消去してしまうことは珍しくありません。2020年には、米国テキサス州のダラス警察で、ある職員がサーバーデータ移行の際に決められた手順を守らなかったために、犯罪調査やその他の法的な調査のデータ8テラバイト分が誤って完全消去される事故が起きました。
企業ではデスクトップPC以外にもさまざまなモバイルデバイスが使用されるようになり、攻撃対象が拡大して、データの喪失や盗難のリスクが高まっています
データセキュリティは、金銭的な損害を防ぐだけでなく、組織の戦略的な意思決定を強化するためにも役立ちます。データが適切に保護されて破損や改ざんがないことを確信できれば、データに対する信頼が高まります。また、コンプライアンス違反を防止して、高い罰金を支払う事態を回避することもできます。さらに、信頼できるデータは、新製品の開発や新しい市場の開拓など、戦略的な意思決定の重要な土台になります。
データセキュリティは、あらゆるタイプのデータを攻撃や破損から守ることを目的としています。一方、データプライバシーは、個人情報を守ること、特に個人情報を適切に扱うことを目的としています。
データプライバシーとデータセキュリティは分けて考えられるケースが多くあります。たとえば、データを外部の脅威から完全に守ったとしても、内部で不正利用されれば、組織はEUの一般データ保護規則(GDPR)などのプライバシー規則に違反しているとみなされます。また、サイバー攻撃を受けて顧客情報が危険にさらされた場合、セキュリティ侵害には当たりますが、必ずしもプライバシー侵害には当たりません。
とはいえ、セキュリティとプライバシーは表裏一体です。攻撃者に顧客データベースに侵入され、クレジットカード番号や個人情報が盗まれれば、それはセキュリティ侵害でもありプライバシー侵害でもあります。
データセキュリティを確保するには、さまざまなツールとテクノロジーが必要です。たとえば以下のものがあります。
- アクセス管理/アクセス制御/認証:これらのツールは、ユーザー名とパスワードという形でほとんどのコンピューターユーザーがすでに使用しています。生体認証や多要素認証などもユーザー確認に使用されます。
- バックアップテクノロジー:データ侵害の被害が組織にとって大惨事となるか、わずかな混乱で収まるかは、バックアップの品質によって決まります。サイバー攻撃からデータを確実に保護するには、オフサイト(さらにできればオフライン)にバックアップすることが重要です。また、定期的にテストを行って効果を確認することも欠かせません。
- 暗号化キーなどの暗号化ツール:機密データにはタイプを問わず、解読がほぼ不可能な暗号化メカニズムを備えたデータ暗号化ツールを使用してマスキングを施します。こうすれば、データが流出しても攻撃者は悪用できません。
- 物理的なセキュリティ:ドアの施錠、セキュリティシステム、その他のソリューションによって物理的なハードウェアを守ることは、どの組織にとっても不可欠です。
コンプライアンスは、組織がさまざまな基準や規制に従う方法を示す広い意味を持つ言葉です。その中でデータセキュリティコンプライアンスは、データの使用と保護方法に関する法規制に従うことを指します。データセキュリティコンプライアンスの適用対象としては顧客データが最も一般的ですが、従業員データやその他のビジネスデータに適用される法規制もあります。
近年、大規模なプライバシー違反、データ漏えい、サイバー攻撃が世間を騒がせたことを受けて幅広い法規制が制定されたことで、規制コンプライアンス、つまりデータセキュリティコンプライアンスは企業にとって重要な課題になっています。今日では、GDPRやHIPAAをはじめとする多数の規制があります。いずれも、個人情報の悪用や誤用から消費者を守ることを目的とし、妥当なセキュリティを実現するために適切な対策を取らない企業には罰則が科されます。これらの規制では、データの保存時に取るべきセキュリティ対策、データの共有方法、データ漏えい時の対応に関する基本的な要件が定められています。
特に重要なデータセキュリティコンプライアンス規則には以下のものがあります。
- GDPR:GDPR (一般データ保護規則)は2018年にEUで制定され、それ以来、世界中のプライバシー規則の手本となっています。GDPRでは、データアクセスと消費者データの保護に関する包括的なポリシーが規定され、違反した企業には厳しい罰金が科されます。
- CCPA:CCPA (カリフォルニア州消費者プライバシー法)は2018年に制定され、カリフォルニア居住者が自身の収集データにアクセスする権利や、データの第三者提供について規定しています。GDPRと同様に、企業がカリフォルニアに拠点を置いているかどうかに関係なく、カリフォルニア居住者のデータを扱う限り、CCPAに従うことが求められます。さらに2023年には、CCPAの規定を強化したCPRA (カリフォルニア州プライバシー権法)が施行される予定です。
- HIPAA:HIPAA (医療保険の相互運用性と説明責任に関する法律)は1996年に制定された歴史の長いコンプライアンス法で、医療情報や診察記録の安全な管理手順を定めています。違反した場合は高額な罰金(場合によっては懲役)が科されます。
- FISMA:FISMA (連邦情報セキュリティマネジメント法)は2002年に制定され、政府機関とその委託企業が従うべき最低限のデータセキュリティ基準を定めています。
- PCI DSS:PCI DSS (ペイメントカード業界データセキュリティ基準)は2004年に制定され、クレジットカード/デビットカード情報の管理に関する最低限のセキュリティレベルを定めています。ペイメントカード情報を保管する企業に適用され、違反した場合はペイメントカードによる決済機能を提供できなくなる可能性があります。
- SOX:SOX (サーベンス・オクスリー法)は2002年に制定され、企業の財務不正を排除、防止することを目的としています。公開会社の財務報告に関する規則と、監査の際に調査対象となり得る事業記録(電子メールやインスタントメッセージを含む)に関するコンプライアンス規則を定めています。
PCI DSSは、ペイメントカード情報を処理、保管する企業を対象に幅広いデータセキュリティ基準を定めています
データを安全に保つために検討、実践すべきベストプラクティスには以下のものがあります。
- データ自体を保護する:複数レベルのユーザー認証、ファイアウォール、侵入検知システムなど、境界防御を強化することは不可欠であり、重要な出発点ですが、その防御をすり抜ける脅威(内部関係者による不正アクセスを含む)からデータ自体を保護する対策も忘れてはなりません。暗号化とDLP (McAfee、Symantec、IBMなどのデータ漏えい防止ソリューション)によって、保存されたデータと移動中のデータの両方を保護することが重要です。
- 強力なデータツール/テクノロジーを導入する:機械学習によってセキュリティ分析や自動化を行い、セキュリティに関する日常業務を標準化すれば、アナリストはより重要な問題や脅威への対応に集中できます。
- バックアップとテストを定期的に行う:バックアップは、ハードドライブの故障からランサムウェア攻撃まで、データを脅かすあらゆる問題への対策として重要です。バックアップは少なくとも1日1回実行し、元のデータとは異なる場所に保管します。また、定期的にテストを行って、バックアップデータが壊れていないかどうかを確認します。これらの作業の多くはツールを使用して自動化できます。
- 使用済みメディアを適切に廃棄する:かつては、使用済みのハードドライブがeBayなどの2次流通市場で販売され、保存データがそのままの状態で残されていることがよくありました。今日ではそのような不注意はほとんどありませんが、使用済みの物理メディアは必ず、複数回にわたってデータを完全に暗号化または上書きしてから消去するよう徹底します。
- ユーザートレーニングを定期的に実施する:ユーザートレーニングを定期的に実施して、強力なデータセキュリティに関する行動規範を組織文化の中核に根付かせます。同時に、セキュリティ手順を正式に文書化し、適宜更新します。強力なデータガバナンス戦略を策定して、ユーザートレーニングに効果的に組み入れることも重要です。
多くの組織にとって、クラウドのデータセキュリティはさらに複雑です。その性質上、オンプレミスのデータセンターと比べてクラウドの安全性が低いということはありませんが、セキュリティの観点で新たな課題が生じることは確かです。
クラウドのセキュリティについて特に懸念されるのが、オブザーバビリティと可視性です。データセンターの場合は、より詳細なデータ管理が可能で、外部から遮断したいときはサーバーからネットワークケーブルを抜けばよく、ハードドライブが故障したときは物理的に交換できます。一方クラウドでは、通常はデータの保存先が不透明です。バックアップが適切に実行されているかや、プロバイダーが主張するレベルのセキュリティが本当に確保されているかを知ることは困難です。多くの場合、組織はベストプラクティスが守られていると信じるしかありません。
いくつかのセキュリティリスクはクラウドでもオンプレミスでも基本的に変わりません。たとえば、内部関係者による不正アクセスはオンサイトでもオンラインでも同様に脅威です。資格情報の管理が重要な点も同じで、クラウドベースのデータストレージでも適切なユーザーのみがアクセスできるように権限を設定する必要があります。
一方で、クラウド環境では、いわゆる「シャドーIT」のリスクが再燃します。どのクラウドサービスも低コストで簡単に利用できるため、組織のデータが無数のサイトに保存されるリスクが高まります。Netskope社の調査によると、2021年7月の時点で、一般的な企業(従業員数500~2,000人)は1カ月あたり805の異なるクラウドサービスを利用し、その97%がシャドーITアプリケーションによるものでした。
こうした懸念は確かにありますが、クラウドはデータの保存先として非常に安全性が高く、多くの場合は、サービスを簡単に使いこなすためのトレーニングツールが提供されています。そのため、クラウド導入済みの企業のほとんどは、オンプレミスのストレージよりもクラウドストレージの方が安全だと考えています。
組織のデータを保護するための主なツールには以下のものがあります。
- ファイアウォール:ファイアウォールは、組織と外部の境界で、送受信されるネットワークトラフィックを制御、監視するためのネットワークセキュリティシステムです。
- マルウェア対策:すべてのデスクトップPCとサーバーにマルウェア/ウイルス対策ツールをインストールすることは今日でも非常に重要です。
- 侵入検知システム:侵入検知システムは、攻撃者が第一防御をすり抜けて侵入したことを検知して、さらなる被害を防ぐために重要な役割を果たします。
- 多要素認証:認証を多層で求めることは、内外の不正アクセスからシステムを守るために役立ちます。
- SIEM:SIEM (セキュリティ情報/イベント管理)ツールを使用すれば、セキュリティログや動作ログを集約してアクティビティをリアルタイムで分析することにより、脅威ライフサイクルのすべての段階をダッシュボードで一元的に可視化できます。
- 暗号化ツール:機密データは、保存先に関係なくすべて暗号化する必要があります。
- バックアップシステム:ランサムウェアが猛威を振るう今日、バックアップソリューションの導入は必須です。
SIEMツールでは、セキュリティインシデントをリアルタイムで分析して、環境内の状況を隅々まで可視化できます。
強力なデータセキュリティ戦略を導入するには、まず、データ保護のビジネスケースを定義します。すべての保存先のすべてのデータを洗い出し、データセットごとにリスクを評価して、リソース割り当ての優先順位とセキュリティを強化するための具体的な戦術を決めます。その後、データセキュリティを組織の重要な文化として根付かせるために、継続的なユーザートレーニングを実施し、セキュリティポリシーを強化します。最後に、SIEM、暗号化、バックアップなど、主なデータセキュリティソリューションを導入して、適切に運用します。
データは組織の規模を問わず重要な資産であるため、データセキュリティの確保は組織にとって重大な任務です。組織のデータを標的にする攻撃はかつてないほど増加、巧妙化しています。そのため、データを破損、喪失、漏えいから保護するための適切な対策を取らなければ、サービスが中断するか、最悪の場合は業務が停止する可能性があります。データセキュリティを強化するには、ツールの導入だけでなく、文化の醸成も必要です。その両方に取り組むことが、包括的なセキュリティ戦略の確立には不可欠です。
