データ・セキュリティーとは、デジタル情報をそのライフサイクル全体を通して、不正アクセス、破損、盗難から保護するためのプラクティスです。
この概念は、情報セキュリティーの幅広い側面を網羅しています。これには、ハードウェアとストレージ・デバイスの物理的なセキュリティーに加えて、管理およびアクセス管理も含まれます。また、ソフトウェア・アプリケーションの論理的セキュリティーと、組織のポリシーおよび手順も対象としています。
強力なデータ・セキュリティー戦略を適切に実践すると、組織の情報資産をサイバー犯罪行為から守ることができます。また、今日のデータ侵害の主な原因の一つである内部脅威や人的エラーからも保護します。
データ・セキュリティーには、組織の重要なデータの保管場所とその使用状況の可視性を高めるツールとテクノロジーの導入が含まれます。理想的には、これらのツールは、暗号化、データ・マスキング、機密ファイルの編集などの保護を適用でき、レポート作成を自動化して監査を効率化し、規制要件を遵守する必要があります。
ビジネスにおける課題
デジタル・トランスフォーメーションは、今日の企業の運営方法と競争方法に大きな変化をもたらしています。企業が作成、操作、保存するデータ量はますます増加しており、データ・ガバナンスの必要性が高まっています。コンピューティング環境も複雑化しており、パブリッククラウド、エンタープライズ・データ・センター、モノのインターネット(IoT)センサー、ロボット、リモート・サーバーなどの多数のエッジ・デバイスにまたがることが常態化しています。この複雑さによりサイバー攻撃のリスクが高まり、これらのシステムの監視とセキュリティー確保が難しくなっています。
同時に、データ・プライバシーの重要性に対する消費者の意識も高まっています。データ保護への取り組みに対する国民からの要請を受け、欧州の一般データ保護規則(GDPR)やカリフォルニア州消費者保護法(CCPA)など、複数の新しいプライバシー規制が制定されました。これらの規則は、電子医療記録を保護する医療保険の相互運用性と説明責任に関する法律(HIPAA法)や、会計上の誤りや金融詐欺から上場企業の株主を保護するサーベンス・オクスリー法(SOX法)など、従来あったデータ・セキュリティー法に追加して適用されます。罰金は最大数百万ドルに達するため、データ・コンプライアンスの必要性が高まっています。つまり、すべての企業には、法規制遵守を確実にする強い経済的インセンティブがあります。
データのビジネス価値はかつてないほどに高まっています。企業秘密や知的財産(IP)の損失は将来の技術革新や収益性に影響を及ぼす可能性があるため、消費者にとって信頼性はますます重要になっています。
The DX Leaders
「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。
機密情報の機密性、整合性、可用性を確保するために、組織は次のデータ・セキュリティー対策を実施できます。
- 暗号化
- データ消去
- データ・マスキング
- データ・レジリエンス
暗号化
暗号化キーは、アルゴリズムを使用して通常のテキスト文字を判読不可能な形式に変換し、許可されたユーザーだけが読み取れるようにデータを暗号化します。ファイルおよびデータベース暗号化ソフトウェアは、暗号化またはトークン化によって内容を隠すことで、機密情報漏洩の最終防御線としての役割を果たします。ほとんどの暗号化ツールには、セキュリティー用キー管理機能が含まれています。
データ消去
データ消去では、ソフトウェアを使用してあらゆるストレージ・デバイス上のデータを完全に上書きするため、標準的なデータ削除よりも安全です。この方法では、データが回復不可能になります。
データ・マスキング
データをマスキングすることで、組織はチームが実際のデータを使用するアプリケーションを開発したり、人材をトレーニングしたりできるようになります。必要に応じて個人を特定できる情報(PII)をマスキングし、準拠した環境で開発を行えるようにします。
データ・レジリエンス
レジリエンスは、ハードウェアの問題から電力不足、データの可用性に影響を与えるその他のイベントまで、組織があらゆる種類の障害にどれだけ耐え、回復できるかによって決まります。影響を最小限に抑えるには、回復にかかる速度が重要です。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
データ・セキュリティー・ツールおよびテクノロジーは、今日の複雑な分散型ハイブリッドまたはマルチクラウド・コンピューティング環境のセキュリティー保護に伴う、増大する課題に対処する必要があります。これには、データ保管場所を理解し、それにアクセスできる人を追跡する、リスクの高いアクティビティーや潜在的に危険なファイルの動きをブロックすることが含まれます。
企業が監視とポリシー適用に集中的なアプローチを採用できるようにする包括的なデータ保護ツールにより、タスクが簡素化されます。これらのツールには以下のものが含まれます。
- データ検出および分類ツール
- データとファイルのアクティビティーの監視
- 脆弱性アセスメントおよびリスク分析ツール
- コンプライアンス・レポートの自動作成
データ検出および分類ツール
データの検出および分類ツールデータベース、データウェアハウス、ビッグデータプラットフォーム、クラウド環境など、構造化されていないデータリポジトリー内の機密情報を積極的に見つけます。このソフトウェアは、機密情報の識別と脆弱性の評価と修復を自動化します。
データとファイルのアクティビティーの監視
ファイル・アクティビティー監視ツールは、データの使用パターンを分析し、セキュリティー・チームがデータにアクセスしている人物を確認し、異常を見分け、リスクを特定できるようにします。セキュリティー・チームは、異常な行動パターンについて積極的にブロックし、警告を発信することができます。
データとファイルのアクティビティーの監視
ファイル・アクティビティー監視ツールは、データの使用パターンを分析し、セキュリティー・チームがデータにアクセスしている人物を確認し、異常を見分け、リスクを特定できるようにします。セキュリティー・チームは、異常な行動パターンについて積極的にブロックし、警告を発信することができます。
脆弱性アセスメントおよびリスク分析ツール
これらのツールにより、旧式のソフトウェア、設定ミス、弱いパスワードなどの脆弱性を検知して軽減するプロセスを簡単に実行できます。さらに、漏洩リスクが極めて高いデータ・ソースを特定することもできます。
コンプライアンス・レポートの自動作成
自動レポート作成機能を備えた包括的なデータ保護ソリューションは、企業全体のコンプライアンス監査証跡の一元的なリポジトリーを提供します。
Data security posture management(DSPM)
機密情報を保護することは、データの検出や分類を行うだけでは十分ではありません。DSPMツールは、シャドウ・データを検出し、脆弱性を明らかにし、高リスクのアクティビティーを優先し、露出を減らすための手順を実行します。例えば、継続的に監視することは、チームが修復と予防に集中するのに役立つリアルタイムのダッシュボードを提供します。
包括的なデータ・セキュリティー戦略には、人、プロセス、テクノロジーが含まれています。しかし、適切な管理とポリシーを確立することは、適切なツール・セットを導入することと同様に、組織文化の問題でもあります。これは、企業のあらゆる分野で情報セキュリティーを優先することを意味します。
データ・セキュリティー戦略では、次の側面を考慮してください。
- サーバーとユーザー・デバイスの物理的セキュリティー
- アクセスの管理と管理
- アプリケーション・セキュリティーとパッチ
- バックアップ
- 従業員教育プログラム
- ネットワークとエンドポイント・セキュリティーの監視と管理
サーバーとユーザー・デバイスの物理的セキュリティー
データはオンプレミス、企業のデータセンター、またはパブリッククラウドに保管できます。とにかく、攻撃者が侵入できないよう保護し、攻撃されても被害が広がらないための適切な事後対策と、攻撃がそもそも成功しないための事前対策を整備する必要があります。クラウド・プロバイダーは、お客様に代わってこれらの保護対策を担います。
アクセスの管理と管理
IT環境全体で、「最小特権」原則に従います。これは、データベース、ネットワーク、および管理アカウントへのアクセスを可能な限り少ない人に許可し、仕事を成し遂げるために絶対にそれを必要とする個人にのみ付与することを意味します。
アプリケーション・セキュリティーとパッチ
すべてのソフトウェアを、パッチまたは新しいバージョンのリリース後、できるだけ早く最新バージョンに更新します。
バックアップ
すべての重要なデータの使用可能な徹底的にテストされたバックアップコピーを維持することは、頑健なデータ・セキュリティー戦略の主軸です。さらに、すべてのバックアップは、プライマリー・データベースとコアシステムへのアクセスを管理する同じ物理的および論理的なセキュリティー・コントロールの対象となる必要があります。
従業員教育プログラム
従業員を「ヒューマン・ファイアウォール」に変えましょう。適切なセキュリティー対策とパスワードの衛生管理の重要性の周知を徹底し、ソーシャル・エンジニアリング攻撃を認識できるようにトレーニングすることが、データを保護するために不可欠です。
ネットワークとエンドポイント・セキュリティーの監視と管理
オンプレミス環境とクラウド環境の両方で脅威管理、検知、および応答ツールの包括的なスイートを導入すると、リスクが低下し、違反の可能性を減らすことができます。
データ・セキュリティーを取り巻く環境が変化し続ける状況下、AI、マルチクラウド・セキュリティー、量子コンピューティングなどの新しい技術は保護戦略に影響を与え、脅威に対する防御力を強化することを目的としています。
AI
AIは、大量のデータを処理できるため、データ・セキュリティー・システムの能力を増幅します。AIのサブセットであるコグニティブ・コンピューティングは、人間の思考プロセスをシミュレートすることで、他のAIシステムと同じタスクを実行します。データ・セキュリティーでは、このシミュレーションにより、重要なニーズがあるときに迅速な意思決定が可能になります。
マルチクラウド・セキュリティー
クラウド機能が成長するにつれて、データ・セキュリティーの定義が拡大してきました。現在、組織は、データだけでなく、パブリッククラウドやプライベートクラウドを介して実行されるアプリケーションや独自のビジネスプロセスを保護するため、より複雑なツールが必要です。
量子
革新的な技術である量子は、多くの伝統的な技術を指数関数的に覆すことを約束します。暗号化アルゴリズムは、極めて多角的で、ますます複雑になり、従来よりも高い安全性を実現するようになるでしょう。
エンタープライズ・グレードのデータ・セキュリティーの実現
効果的なデータ・セキュリティー戦略を適用する鍵は、企業全体でデータを保護するためのリスクベースのアプローチを採用することです。利害関係者は、戦略開発プロセスの早い段階で、ビジネス目標と規制要件を考慮して、最も重要な機密情報を含む1つまたは2つのデータソースを特定し、そこから着手する必要があります。
これらの限られた情報源を保護するための明確で厳しいポリシーを確立したら、こうしたベスト・プラクティスを、他のエンタープライズのデジタル資産で優先順位を付けて順次適用していくことができます。導入したデータの自動監視と保護機能により、ベスト・プラクティスの実践および適用範囲の拡大がはるかに容易になります。
データ・セキュリティーとクラウド
クラウドベースのインフラストラクチャーを保護するには、ネットワークの境界を防御するという従来型モデルとは異なるアプローチが必要で、包括的なクラウド・データの検出・分類ツール、および継続的なアクティビティーの監視とリスク管理が欠かせません。クラウド監視ツールは、クラウド・プロバイダーのサービス型データベース(DBAAS)ソフトウェアの間に位置し、既存のセキュリティー・プラットフォームへのトラフィックを監視またはリダイレクトすることができます。これにより、データがどこで保管されているかに関係なく、ポリシーの均一な適用が可能になります。
データ・セキュリティーとBYOD
エンタープライズ・コンピューティング環境でのパーソナル・コンピューター、タブレット、モバイル・デバイスの使用は、この慣行のリスクに関するセキュリティー・リーダーの十分な懸念にもかかわらず、増加しています。個人所有デバイスの業務使用(BYOD)セキュリティーを改善する1つの方法は、個人デバイスを使用する従業員にセキュリティー・ソフトウェアをインストールしてから、企業ネットワークにアクセスすることを義務付けることです。
また、従業員にデータ・セキュリティーの価値を教えることにより、企業全体でセキュリティーを最優先する考え方を徹底するのもよいでしょう。この戦略には、従業員が強力なパスワードの使用、マルチファクター認証のアクティブ化、ソフトウェアを定期的に更新し、デバイスをバックアップし、データ暗号化を使用することを奨励することが含まれます。