データは世界経済の多くを支えています。サイバー犯罪者はデータの価値を認識しており、機密情報を盗もうとするサイバー攻撃や、ランサムウェアの場合にはデータを人質に取ろうとする攻撃が以前よりも頻繁に起こるようになり、より大きな被害と多額の損害を与えるようになりました。IBMの「2021年データ侵害のコストに関する調査」によると、データ侵害の平均総コストは、2020年から2021年にかけて424万米ドルと過去最高を記録しました。
データ侵害は被害者にさまざまな損害を与えます。予期しないダウンタイムはビジネスの損失につながります。顧客の機密情報が漏えいすると、多くの場合、企業は顧客を失い、社会的評判に大きな、時には取り返しの付かないダメージを受けます。知的財産を盗まれると、企業の収益性が損なわれ、競争力が低下します。また、データ侵害の被害者は、規制上の罰金や法的な罰則を科せられる可能性もあります。EU一般データ保護規則(GDPR)などの政府による規制や、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)のような業界規制は、企業に顧客の機密情報保護を義務付けるものであり、これを怠ると多額の罰金につながる可能性があります。Equifax社は、2017年のデータ侵害の結果として、連邦取引委員会(FTC)と消費者金融保護局(CFPB)および全50州に、少なくとも5億7,500万米ドルの罰金を支払うことに同意しました。2021年10月にはBritish Airways社が、2018年のデータ侵害に関連するGDPR違反により2,600万米ドルの罰金を科せられました。当然のことながら、企業は情報セキュリティー技術と人材にこれまで以上の投資を行うようになっています。Gartner社の予測によると、2021年の情報セキュリティーとリスク管理のテクノロジーとサービスへの投資額は、総計1,504億米ドルにのぼり、2020年から12.4%増加してします。情報セキュリティーの取り組みを統括する最高情報セキュリティー責任者(CISO)は、企業の経営幹部として定着しました。ISC2(旧称:(ISC)²)が認定するCertified Information Systems Security Professional (CISSP)資格など、高度な情報セキュリティー認定資格を持つ情報セキュリティー・アナリストの需要も高まっています。米国の労働統計局によると、このような認定資格を持つアナリストの雇用は、2030年までに33%増加すると予測されています。
情報セキュリティーの実践は、情報システムの安全性とリスク軽減に対する基準を定める、数十年前に生まれて今も進化し続ける原則をベースとしています。
1977年に登場したCIAトライアドは、情報システムを守るためのテクノロジー、方針、実践に関して組織が選択を行う際の指針とするためのものです(ここで言う情報システムとは、ハードウェアやソフトウェア、ならびに企業の情報テクノロジー(IT)インフラストラクチャー内のデータの作成、保管、使用、交換に関わる人々を指します)。トライアド(3つ)の要素は以下のとおりです。
機密性:関係者でも、アクセスが許可されていないデータにアクセスできないようにします。機密性は、企業のデータの多くにアクセスできる特権を持つ内部関係者から、一般の人々が閲覧することを許可または許可されている情報のみを閲覧する権限を与えられた部外者まで、連続性が定義されています。完全性:企業のデータベース内にあるすべての情報を完全かつ正確に保ち、改ざんされないようにします。完全性は、攻撃者が意図的にデータを改ざんすることの防止から、善意のユーザーが意図的または意図せずに不正な方法でデータを変更することの防止まで、あらゆることに適用されます。
可用性:ユーザーが必要なときに、アクセスが許可されている情報にアクセスできるようにします。可用性は、情報セキュリティーの方法や方針によって、権限のあるデータ・アクセスが妨げられてはならないことを規定するものです。情報システム内のデータの機密性、完全性、可用性を達成して維持する継続的なプロセスは、「情報保証」として知られています。
情報セキュリティーの専門家は、情報セキュリティー・プログラムを作成することで、情報セキュリティーの原則を情報システムに適用します。情報セキュリティー・プログラムとは、情報保証の遂行を意図した、情報セキュリティーの方針、保護手段、計画を集めたものです。
情報セキュリティー・プログラムの作成は、一般的にはサイバー・リスク・アセスメントから始まります。企業の情報システムのあらゆる側面を監査することで、情報セキュリティー専門家は、企業が直面しているリスクを正確に理解し、リスクを軽減するための最も適切なセキュリティー対策とテクノロジーを選択できます。サイバー・リスク・アセスメントは、通常次のような内容が含まれます。
脆弱性の特定:脆弱性とは、攻撃者がそれを利用してデータに不正アクセスできる、情報技術(IT)インフラストラクチャーの弱点です。例えばハッカーは、コンピューター・プログラムの不具合を利用して、マルウェアや悪意のあるコードを正規のアプリケーションやサービスに埋め込むことができます。
人間のユーザーも、情報システムの脆弱性と見なされる可能性があります。例えばサイバー犯罪者は、フィッシングのようなソーシャル・エンジニアリング攻撃を通じて、ユーザーを操り機密情報を共有させる場合があります。
情報セキュリティーの専門家は、これらの脆弱性を明らかにするために、ペネトレーション・テスト(自社の情報システムに対する攻撃のシミュレーション)を採用することがよくあります。
脅威の特定:脅威とは、情報システムの機密性、完全性、可用性を損なう可能性のあるものすべてを指します。
サイバー脅威とは、デジタルの脆弱性を利用する脅威です。例えば、サービス拒否(DoS)攻撃は、サイバー犯罪者が企業の情報システムの一部をトラフィックで圧倒し、クラッシュさせるサイバー脅威です。
脅威は物理的な場合もあります。自然災害や、物理的または武力による攻撃、さらにはシステム的なハードウェア障害でさえ、企業の情報システムに対する脅威と見なされます。
IBMデータ・セキュリティー・サービスは、データ・セキュリティー戦略や、データ検出、データ損失防止、データ・セキュリティー・ガバナンス、データベースのセキュリティー監視で組織を支援します。
IBMアプリケーション・セキュリティー・サービスは、アプリケーション・セキュリティーのトレーニングやアプリケーション脅威モデリング・サービスなどを提供し、DevOpsをDevSecOpsに変革します。
IBMデータ・セキュリティー・ソリューションの詳細をご覧ください。