データ分類とは？

データの価値はどれも同じというわけではありません。今日の複雑なデジタル世界において、すべてのデータアセットを同等の力で保護しようとするのは現実的でなく、賢明とも言えません。テラバイト、あるいはペタバイト規模のデータを扱うデータセキュリティチームは、データ分類というより高度な手法を用いる必要があります。  

データ分類とは、データを参照しやすくするために、データの種類、機密性、ビジネス価値などの事前定義された基準に従って各種データ要素を分類することです。データ分類は、重要なデータや機密性の高いデータを保護するための鍵となります。なぜなら、このようにデータを分類すれば、最も重要なデータに効果的なセキュリティ対策を適用できるからです。データ分類は、データを不正アクセスや侵害から守るだけでなく、業界の規制や標準を完全に遵守するという点でも中心的な役割を果たします。  

この記事では、さまざまなデータ分類方法、その利点と潜在的な課題、およびビジネス目標を達成するためにデータ分類をどのように使用できるかについて説明します。

データ分類プロセス

企業が扱うデータは通常膨大な量にのぼることから、データの分類は大きな課題の1つです。

以下に、データ分類を正しく行うための簡単な手順を示します。

1. 目標を定義する

データ分類プロセスを開始する前に、まず特定のビジネスニーズに照らしてセキュリティ目標を定めることが重要です。 

自問すべき重要な質問： 

• 何のためにこれを行うのか？ 

• どのような課題を解決しようとしているのか？ 

例えば、プライバシー規制の遵守が主な目的である場合は、自社に適用される法律や規制を定期的に評価し、データの保護や罰則の回避に必要な手順を特定します。注意すべき一般的な規制には、GDPR、CCPA、CPRA、HIPAA、PCI DSSなどがあります。

2. 対象範囲を評価して優先順位を付ける

大規模なデータを扱う場合、データ分類は途方もない難題のように思えるかもしれません。しかし、戦略的な思考を持てば、分類を管理可能な規模にまで縮小することができます。リスク、価値、規制要件といった意味のある基準を基にデータを評価することで、最も機密性の高い価値のある情報にリソースとセキュリティ対策を集中させることができます。これにより、データ分類の対象範囲が大幅に狭まり、現実的に作業可能なレベルになります。

3. 組織内の関連するステークホルダーを特定する

セキュリティチーム、ガバナンス・リスク・コンプライアンスチーム、エンジニアリング部門など、社内の誰を参加させるかを特定します。各自のニーズ、コミュニケーション方法、既存のワークフローと、各自が業務プロセスでデータ分類をどのように使用するつもりであるかを明確にします。

4. データ分類プロセスを実施する

自社のアーキテクチャとビジネス目標にとって最適な分類方法を準備し、分類を実施します。 

つまり、次のような技術的な問いの答えを出します。

• 保存データまたは移動中のデータをスキャンするか？ 

• コンテキストまたはコンテンツに基づいてデータを分類するか？ 

5. 自動化する

自動化されたサードパーティ製セキュリティソフトウェアソリューションを使用すると、分類プロセスが合理化されるので便利です。このようなソリューションは、煩雑でミスが起こりやすい分類タスクを手作業で行う必要性をなくすだけでなく、データセキュリティのギャップを明らかにして修復をサポートするのにも役立ちます。

6. 既存のワークフローと統合する

ステークホルダーのニーズと目的を理解したら、障壁を最小限に抑えるために分類エンジンを既存のワークフローに統合できます。これには、例えばGDPR監査のための処理活動記録 (RoPA) の自動生成を含めることができます。

7. 作業の成果を享受する

これで重要なデータの分類は完了したので、次にこれを価値に変換します。セキュリティの観点からは、機密データのセキュリティを確保するための明確なポリシーを定義できます。例えば、個々のデータアセットをどのように処理、アクセス、保存するかを管理するロールベースの権限を定めます。予算の観点からは、データの保持と保管に関するポリシーを作成し、各データタイプに適した保管場所と保持期間を決定できます。 

8. 反復して洗練させる

機密データが常に確実に保護されるように、分類ポリシーを定期的に見直して更新することをお勧めします。

データ分類方法

データ分類は重要なトピックであり、これをセキュリティツールボックスに実装する前に考慮すべきことが数多くあります。

このセクションでは、データ分類の2つの重要な側面、すなわち、さまざまなデータ分類方法と、分類対象となるデータの種類について見ていきます。

分類レベル

多くの組織は、データをレベルに基づいて分類します。使用するレベルは、必要に応じて細かく細分化することも、大雑把にすることもできます。 

以下のデータ分類の例は、データの機密性を定義するレベルに基づいてデータを分類する方法を示します。

• 高い機密性：このレベルに属するデータには、権限のないユーザーがアクセスした場合にステークホルダーに悪影響を及ぼす可能性のある重要な情報が含まれます。例えば、金融口座番号、クレジットカード情報、社会保障番号などがこれに該当します。
• 中程度の機密性：この種類のデータには、公開されていない、または組織外の人はアクセスできないものの、業務上それほど重要ではない、または極秘ではない情報が含まれます。例えば、機密データを含まないメールや文書がこれに該当します。 
• 低い機密性：この分類には、Webサイト、ディレクトリ、その他のリポジトリで一般に公開されているデータが含まれます。

コンテキストベース、コンテンツベース、ユーザーベースの分類

データセキュリティを完全に掌握するには、それぞれの分類の種類とその違いを理解することが重要です。 

• コンテキストベースの分類では、メタデータ（履歴、属性、アセット所有者、環境など）のようなコンテキスト情報からデータの種類を判別します。例えば、「EmailAddress」という列に含まれているデータはメールアドレスとして分類されます。この種の情報は有用ではありますが、メタデータから導き出された結論は正確であるとは限らず、誤った分類になる可能性があります。
• 一方、コンテンツベースの分類では、データを直接観察することでデータの種類を判別します。このアプローチでは、データアセットに不適切なタグが付いていても、それが名前、メールアドレス、住所、クレジットカード番号のいずれであるかを高い確度で識別できます。例えば、コンテンツベースの分類では、クレジットカード番号が「コメント」フィールドにある場合でもこれを識別できます。
• ユーザーベースの分類は、知識のあるユーザーによる手入力とそのユーザーの裁量に依存します。通常は、これらのユーザーが文書を作成または編集した後にデータの機密度を示すラベルを付けます。  

驚くかもしれませんが、ほとんどのソリューションはコンテキストのみに基づいて分類を行います。ここで注意すべき微妙な点がもう1つあります。それは、コンテキストを取得するには移動中のデータを観察しなければならないということです。移動中のデータを合理的なコストで確実に取得する唯一の方法は、ランタイム時にペイロードを通じてデータを分析することです（これは、AWS Flow Logsのようなパブリッククラウドのログの対極にあります）。

機密データをコスト効率の高い方法で正しく認識し、分類したい場合は、コンテンツベースの分類とコンテキストベースの分類の両方を実装していて、コンテキストベースの分類をペイロードを基に実行しているベンダーをパートナーとして選ぶ必要があります。そうしないと、コストがかさむ、重要なシグナルを見逃す、脆弱なデータが漏洩や侵害の危険にさらされるといったリスクが生じます。

構造化データの分類と非構造化データの分類の比較

データにはさまざまな形がありますが、大きく分けると次の2つに分類できます。

• 構造化データ：CSVファイル、JSONファイル、Excelスプレッドシートなど、「キーと値」形式のデータ。
• 非構造化データ：フリーテキスト、画像（フリーテキストを含む場合もある）、動画、文書など。

ここで注意すべき重要な点は、構造化データと非構造化データの分類プロセスは本質的に異なり、すべての分類ソリューションが非構造化データを処理できるわけではないということです。 

要するに、非構造化データの中に機密データが潜んでいる可能性がある場合は、それを確実に検出して分類できる分類ツールを使用することが重要となります。忘れないでほしいのは、ある特定のアプリケーションによってデータが処理されるときに、構造化データが非構造化データに、あるいはその逆に変わる可能性があるということです。非構造化データを分類することには、ほぼ常に、投資する価値があります。

固有表現抽出モデルと大規模言語モデルの比較

非構造化データはこれまで、従来の固有表現抽出 (NER) アルゴリズムによって分類されてきました。これは、機械学習を使用してラベル付きデータセットを分析するというものです。このアルゴリズムはある程度効果的でしたが、精度とコンテキストの制限があり、認識できるデータクラスは限られていました。 

今日の大規模言語モデル (LLM) を利用したソリューションは、幅広い種類のデータを認識し、他のモデルでは見逃されるようなコンテキストも捉えることができるため、データ分類がまったく新たなレベルへと引き上げられます。LLMは膨大な量のデータでトレーニングされているため、データ分類の精度は非常に高く、その結果は業界ベンチマークや事前定義された分類とほぼ同等です。分類可能なデータの種類には、カジュアルな文書から複雑なソースコード、音声ファイル、画像、動画まで、あらゆるものが含まれます。

データ分類の利点

データ分類ツールをデータセキュリティ運用に実装するには、ある程度時間と労力がかかります。しかし、これには次のような大きな利点があります。

データ分類の課題

データ分類をデータ保護戦略に取り入れる際には、注意すべき大きな落とし穴がいくつかあります。以下に、それらの一部とその対処方法を示します。 

コスト管理 

日々生成される大量のデータの収集、分類、モニタリング、維持管理に十分な時間とリソースを割り当てることは、特にレガシーデータを扱う場合には、コストと複雑さの急速な増大につながる可能性があります。この問題は、競合する優先事項や限られた予算によってさらに悪化する可能性があります。

この課題への対処方法の1つとして、自動化アプローチの採用が挙げられます。分類を自動化すると、労働集約的なタスクが排除され、それに伴う人的ミスがなくなります。さらに、最も機密性の高い情報の分類を優先することができ、不要なデータの収集を防ぐポリシーを実装できるため、時間が節約され、コストを効果的に管理できます。

エンジニアリングチームへの過度の依存

データ分類をITチームとエンジニアリングチームのみに任せると、ボトルネックが生じ、チームの負担が増大して、ミスにつながる可能性があります。分類プロセスとその技術的要件の複雑さを考えると、このやり方は長期的には持続可能ではありません。 

自動化はここでも救いの手となります。自動化は分類プロセスを高速化し、精度を向上させ、セキュリティチームとエンジニアリングチームの間の緊張を解消します。

一貫性のないポリシーと形式

各部門やチームが選んだポリシーや形式が一貫していないと、混乱やミスが生じ、情報の損失、不適切な分類、リソースの浪費につながる可能性があります。 

この問題を防ぐには、標準化されたポリシーと形式を確立し、それを部門間で一貫して遵守させます。

事前に定義されたポリシーと形式を適用する自動化ツールを使用すると、この標準を維持できます。定期的なモニタリング、更新、見直しも、これらのポリシーと形式の妥当性や有効性の確保に役立ちます。

不適切な分類またはコンテキストの欠落

不完全なラベル、十分に整理されていないデータ、コンテキストの欠落、情報の重複や曖昧さは、いずれも不正確なデータ分類につながる可能性があります。これは、後で重大なエラーをもたらす可能性もあります。例えば、健康記録や財務記録の個人名に機密情報のタグが付いていないと、それらが機密度の低い情報とみなされる場合があります。

このような課題に対処するには、データの収集方法に特に注意を払い、データ収集の際にメタデータや欠落しているリンクを考慮に入れる必要があります。

自動化ツールは、これをさらに容易にします。機械学習アルゴリズムを使用して、異常の軽減、ポリシーの更新、形式の修正、データ収集のモニタリングをコスト効率よく行うことができます。

データ分類ソリューションに関する考慮事項

実際に機能するルールとセキュリティコントロールを確立するには、強力なデータ分類エンジンが不可欠です。また、どのようなデータがシステム内を流れているかをしっかりと把握しなければ、規制遵守とリスク軽減はほぼ不可能です。

幸いなことに、これらすべてを独力で行う必要はありません。この作業を自動化できる優れたサードパーティ製ツールが存在します。ただし、この方法を採用する場合は、注意すべき重要な点がいくつかあります。 

以下に、データ分類を謳う外部ベンダーと契約する前に評価すべき重要なポイントを示します。 

1. その分類ソリューションはどの程度正確か？非構造化データを処理できるか？コンテキストだけでなくコンテンツも使用するか？

2. ソリューションは自動化されているか？自社のワークフローにどれだけうまく組み込めるか？

3. そのソリューションは単にデータを分類するだけか？それとも、組織のセキュリティポスチャを強化するツールや、信頼性の高いアラートを提供するツールも付属しているか？

ベンダーが上記のすべての項目を満たしていれば、データ分類の道のりへの第一歩を順調に踏み出せる可能性が高いと言えます。これは非常に大切です。なぜなら、質の高いデータ分類は、堅牢なセキュリティポスチャを達成するための大きなマイルストーンの1つだからです。

クラウドストライクのデータ分類エンジン

組織の管理下にあるデータの量は刻々と増加しています。適切なデータ分類戦略がなければ、機密情報が漏洩するリスクや、深刻な法的影響や悪評を招くリスクにさらされます。

クラウドストライクのDSPM（データセキュリティポスチャ管理）ソリューションは、データの検出と分類を自動化します。構造化データと非構造化データの中から機密性の高いデータを検出して分類できるよう設計されています。それらのデータがオンプレミスまたはクラウドにあるか、あるいは外部サービスやシャドーデータベースに転送されるかは問いません。

CrowdStrike Falcon® Cloud Securityは、DSPMにランタイム機能を導入することで、新たなリスクコンテキストのレイヤーをチームに提供します。これにより、リスクの効果的な優先順位付けが容易になり、アラート疲れが軽減します。その結果、リアルタイムでの脅威への対応が可能になり、マルチクラウドおよびハイブリッド環境全体にわたってデータを保護できます。