ほぼすべての組織が、顧客と従業員のエクスペリエンスを向上させ、より優れたビジネス上の意思決定を促進する上でのデータの力を認識しています。しかし、データの価値が高まるにつれて、それを保護することも難しくなってきています。企業はハイブリッド・モデルで攻撃対象領域を増やし続け、重要なデータをクラウドサーバーや、サードパーティ・ストレージ、オンプレミスに分散させています。一方で、脅威アクターは脆弱性を悪用する新しい独創的な方法を常に考案しています。
これに応じて、多くの組織がデータ保護に重点を置いていますが、有効なガイドラインやアドバイスが不足していると痛感しています。
データ保護ストラテジーはそれぞれ異なりますが、組織向けのストラテジーを構築する際に考慮すべき重要な構成要素とベスト・プラクティスを以下に示します。
データ保護ストラテジーとは、組織の機密情報をデータの損失や破損から保護するための一連の対策とプロセスです。その原則はデータ保護の原則と同じで、データを保護し、データの可用性をサポートすることにあります。
これらの原則を満たすために、データ保護ストラテジーは一般に次の3つの領域に重点を置いています。
データ・セキュリティーと異なる主な理由は、データ保護がアクセス性と可用性に重点を置いている点にもあります。データ・セキュリティーは、デジタル情報を脅威アクターや不正アクセスから保護することに重点を置いていますが、データ保護はそれ以上のことを目的としており、データ・セキュリティーと同じセキュリティ対策をサポートするだけでなく、認証、データ・バックアップ、データ・ストレージ、欧州連合の 一般データ保護規則(GDPR)などの規制コンプライアンスの達成もカバーしています。
現在、ほとんどのデータ保護ストラテジーには、データのバックアップや復元機能などの従来のデータ保護対策に加えて、Disaster Recovery as a Service(DRaaS)などの事業継続および災害復旧(BCDR)計画が含まれています。これらの包括的なアプローチを組み合わせることで、脅威アクターを阻止できるだけでなく、機密データと企業情報セキュリティーの管理が標準化され、ダウンタイムによる業務の損失が制限されます。
データは世界経済の多くを支えていますが、残念なことに、サイバー犯罪者はその価値を知っています。機密情報を盗むことを目的としたサイバー攻撃は増加し続けています。IBMのデータ侵害のコストに関する調査によると、2023年のデータ侵害を修復するための世界平均コストは445万米ドルで、3年間で15%増加しました。
こうしたデータ侵害は、被害者にさまざまな損害をもたらす可能性があります。予期しないダウンタイムはビジネスの損失につながる可能性があり、企業は顧客を失い、評判に大きなダメージを受ける可能性があります。また、知的財産が盗まれると、企業の収益性を失い、競争力が損なわれる可能性があります。
また、データ侵害の被害者は、法的な罰金や罰則を科せられることも稀ではありません。一般データ保護規則(GDPR)などの政府規制や、医療保険の携行性と責任に関する法律(HIPAA)などの業界規制により、企業は顧客の個人データを保護する義務を負っています。
これらのデータ保護法に違反すると、多額の罰金が科せられる可能性があります。実際、2023年5月、アイルランドのデータ保護当局は、カリフォルニアに本社を置くMeta社のGDPR違反(ibm.com外部へのリンク)に対して、13億米ドルの罰金を科しました。
当然のことながら、企業はサイバーセキュリティーの取り組みの中でも、特にデータ保護にますます注力するようになり、有効なデータ保護ストラテジーは潜在的なデータ侵害を防ぐだけでなく、規制法や基準への継続的な準拠も保証することを認識しています。さらに、適切なデータ保護ストラテジーは、サイバー攻撃によるダウンタイムを最小限に抑えるだけではなく、事業運営を改善し、貴重な時間とコストを節約します。
適切なデータ保護ストラテジーは企業ごとに異なります(組織の特定のニーズに合わせて調整する必要があります)が、知っておきたいソリューションがいくつかあります。
こうしたソリューションの主な機能には次のようなものがあります。
データ・ライフサイクル管理(DLM)は、データの入力からデータの破棄まで、ライフサイクル全体にわたって組織のデータを管理するのに役立つアプローチです。データをさまざまな基準に基づいて適切な段階に分類し、さまざまなタスクや要件を完了するにつれて段階を進めていきます。DLMの段階には、データの作成、データの保存、データの共有と使用、データのアーカイブ、およびデータの削除があります。
優れたDLMプロセスは、特に組織が多様なタイプのデータ・ストレージを使用している場合には、重要なデータを整理して構造化するのに役立ちます。また、脆弱性軽減、データの効率的管理、規制準拠、誤用や損失のリスク低減もできます。
アクセス制御は、許可されたユーザーのみが特定の種類のデータにアクセスできるようにすることで、機密データの不正アクセス、使用、または転送を防止するのに役立ちます。脅威アクターの侵入を防ぎながらも、すべての従業員が必要な権限を持つことで、すべての従業員が業務を遂行できるようにしています。
組織は、役割ベースのアクセス制御(RBAC)、多要素認証(MFA)、またはユーザー権限の定期的なレビューを採用できます。
IDおよびアクセス制御(IAM)の取り組みは、業務を中断することなくアクセス制御を合理化し、資産を保護するのに特に役立ちます。すべてのユーザーに独自のデジタルIDを割り当て、役割、コンプライアンスのニーズ、その他の要因に合わせて権限を割り当てます。
データ暗号化では、暗号化アルゴリズムを使用して、データを元の読み取り可能な形式(プレーンテキスト)からエンコードされたバージョン(暗号テキスト)に変換します。このプロセスにより、権限のない個人が暗号化されたデータにアクセスした場合でも、復号化キーがなければデータを判読したり、使用したりすることはできません。
暗号化はデータ・セキュリティーに欠かせません。機密情報がネットワーク経由で送信されるとき(転送中)と、デバイスまたはサーバーに保存されているとき(保存中)の両方で、不正アクセスから保護するのに役立ちます。通常、権限のあるユーザーは、機密データがほとんど常に安全で判読できないようにするために、必要な場合にのみ復号化を実行します。
データを保護するには、組織はまずリスクを知る必要があります。データ・リスク管理には、組織のデータの完全な監査/リスク評価を実施して、組織が保有しているデータの種類、保管先、データにアクセスできる個人を把握することが含まれます。
企業はこうした情報をもとに脅威と脆弱性を特定し、リスク軽減ストラテジーを実施します。これらのストラテジーは、セキュリティー・ギャップを埋め、組織のデータ・セキュリティーとサイバーセキュリティー体制を強化するのに役立ちます。こうしたストラテジーには、セキュリティー対策の追加、データ保護ポリシーの更新、従業員トレーニングの実施、新しいテクノロジーへの投資などが含まれる場合があります。
さらに、継続的なリスク・アセスメントを行うことで、組織は新たなデータ・リスクを早期に発見し、それに応じてセキュリティー対策を適応させることができます。
データのバックアップと災害復旧には、ファイルのコピーを定期的に作成または更新し、それらを1カ所以上のリモートの保管場所で保存し、ファイルの破損、データの破損、サイバー攻撃、自然災害によるデータ損失が発生した場合に、コピーを使用して業務を継続または再開することが含まれます。
サブプロセスの「バックアップ」と「災害復旧」は、混同されたり、プロセス全体と同義であると間違われることがあります。厳密には、バックアップはファイルのコピーを作成するプロセスであり、災害復旧は、停止後にコピーを使用してアプリケーション、データ、およびITリソースへのアクセスを迅速に再確立するための計画・プロセスです。この計画には、プライマリー・データセンターが再び機能するまで、冗長なサーバーとストレージ・システムへの切り替えが含まれる場合があります。
災害復旧サービス(DRaaS)は、災害復旧に対する管理されたアプローチです。サード・パーティーのプロバイダーは、災害復旧に使用されるインフラストラクチャーをホストおよび管理します。一部のDRaaS製品では、災害復旧プロセスを管理するためのツールや、組織がこれらのプロセスを管理できるようにするツールを提供する場合があります。
組織がデータを移動するときには必ず、強力なセキュリティーが必要です。そうしないと、データ損失、サイバー脅威、潜在的なデータ侵害にさらされるリスクがあります。
データストレージ管理は、特にハイブリッド・ストレージとクラウドストレージの脆弱性を減らすことで、このプロセスを簡素化するのに役立ちます。オンプレミスか外部のクラウド環境かを問わず、本番データをデータストアに安全に転送することに関連するすべてのタスクを監督します。これらのストレージは、頻繁で高性能なアクセスに対応することも、取得頻度が低い場合のアーカイブ・ストレージとしての役割も果たします。
インシデント対応(IR)とは、サイバー脅威、セキュリティー侵害、サイバー攻撃を検出して対応するための組織のプロセスとテクノロジーを指します。その目標は、サイバー攻撃を未然に防ぎ、発生した場合のコストとビジネスの混乱を最小限に抑えることです。
インシデント対応をより広範なデータ保護ストラテジーに組み込むことで、組織はサイバーセキュリティーに対してより積極的なアプローチをとり、サイバー犯罪者との戦いを強化できます。
2023年度データ侵害のコストに関する調査によると、高度なIR対策を講じている組織は、低レベルまたはまったく対策を講じていない組織と比較して、データ漏えい費用を149万米ドル削減し、インシデントを54日早く解決しています。
データ保護ポリシーは、組織がデータ・セキュリティーとデータ・プライバシーに対するアプローチを概説するのに役立ちます。これらのポリシーには、データ分類、アクセス制御、暗号化標準、データ保持と廃棄慣行、インシデント対応プロトコル、ファイアウォール、侵入検知システム、ウイルス対策やデータ損失防止(DLP)ソフトウェアをはじめとする技術的制御など、いくつもの項目を含めることができます。
データ保護ポリシーの主なメリットは、明確な基準が設定されることです。従業員は、機密情報を保護するための責任を認識しており、多くの場合、フィッシング攻撃の特定や機密情報の安全な取り扱い、セキュリティー・インシデントの迅速な報告などのデータ・セキュリティー・ポリシーに関するトレーニングを受けています。
さらに、データ保護ポリシーを策定して、アクセス要求、ユーザー・プロビジョニング、インシデント報告、セキュリティー監査の実施などのデータ関連活動のための明確なプロセスを提供して、運用効率を高めることができます。
官公庁・自治体やその他の当局はデータ保護の重要性をますます認識しており、企業がお客様と取引するために準拠すべき基準やデータ保護法を制定しています。
コンプライアンス要件に違反すると、訴訟費用を含む多額の罰金が科される可能性があります。ただし、強固なデータ保護ストラテジーでは、厳格な社内ポリシーと手順を定めることで、継続的かつ確実に規制に準拠できます。
最も注目すべき規制は、個人の個人データを保護するために欧州連合(EU)が制定した一般データ保護規則(GDPR)です。GDPRは個人情報に焦点を当て、データ・プロバイダーに厳しいコンプライアンス要件を課しています。また、データ収集の透明性を義務付け、コンプライアンス違反に対しては、組織の年間世界売上高の4%または2,000万ユーロという多額の罰金を科しています。
もう1つの重要なデータプライバシー法は、米カリフォルニア州で適用されているCalifornia Consumer Privacy Act(CCPA)で、GDPRと同様に、透明性を強調し、個人が自分の個人情報を管理できるようにしています。CCPAに基づき、カリフォルニア州の居住者は、データの詳細を要求したり、販売をオプトアウトしたり、削除を要求したりできます。
さらに、医療保険の相互運用性と説明責任に関する法律(HIPAA法)では、患者の個人健康情報(PHI)を扱う医療提供者などの「対象事業体」に対して、データ・セキュリティーとコンプライアンス基準が義務付けられています。
関連記事:GDPRへの準拠の詳細を学ぶ
データを安全に保つには、まず、どのような種類のデータがあり、どこに保存され、誰がアクセスできるかを把握することから始まります。包括的なデータ・インベントリーを作成し、組織が保持しているすべての情報を特定して分類します。各データ・タイプの機密性と重要度を判断して保護活動の優先順位を決め、データ使用量やストレージに変化があった場合は定期的にインベントリーを更新します。
経営陣やベンダー、サプライヤー、顧客、広報・マーケティング担当者などの主要な利害関係者と随時連絡を取り合い、データ保護のストラテジーとアプローチの理解を徹底します。このオープンなコミュニケーション・ラインにより、データ・セキュリティー・ポリシーに対する信頼性、透明性、意識が向上し、従業員やその他の人々がより適切なサイバーセキュリティー上の意思決定を行えるようになります。
データ保護ストラテジーに携わる従業員全体を対象としたセキュリティー意識向上トレーニングを実施します。サイバー攻撃は人間の弱点をつくものが多く、内部からの脅威が大きな懸念事項となっており、従業員はサイバー犯罪者から会社を守る最前線となります。プレゼンテーション、Webセミナー、クラスなどを通じて、従業員はセキュリティーの脅威を認識し、重要なデータやその他の機密情報をより適切に保護することを学ぶことができます。
継続的なリスク・アセスメントと分析を実行することで、潜在的な脅威を特定し、データ侵害を回避できます。リスク・アセスメントにより、データ保護ポリシーを維持しながら、データ・フットプリントとセキュリティー対策を評価し、脆弱性を切り分けることができます。さらに、一部のデータ保護法や規制でもそれが義務付けられています。
ハイブリッドIT環境で機密データを文書化することは容易なことではありませんが、優れたデータ保護戦略には不可欠です。監査、調査、その他のサイバーセキュリティー・イベントが発生した場合に備えて、規制当局、経営幹部、ベンダーなどのために厳格な記録を維持してください。文書を更新することで業務効率が向上し、透明性、説明責任、データ保護法への準拠が保証されます。さらに、新たなサイバー脅威に対抗するために、データ保護ポリシーと手順は常に最新の状態に保つ必要があります。
監視により、データ・アクティビティーをリアルタイムで可視化できるため、潜在的な脆弱性を迅速に検出して修正できます。特定のデータ保護法ではこれが義務付けられている場合もあります。また、義務付けられていない場合でも、監視を行うことで、データ・アクティビティーをデータ保護ポリシーに準拠した状態に保つことができます(これは、コンプライアンス監視を行う場合と同様です)。これを提案されたセキュリティー対策の有効性をテストするために使用することもできます。
ストラテジーは、業種・業務、地域、顧客のニーズ、その他さまざまな要因によって異なりますが、これらの必須事項を明確にすることは、データ保護を強化する上で組織が正しい道を進むのに役立ちます。
IBMのデータ保護ソリューションの詳細はこちら