データ保護とは
データ保護とは、不正アクセス、改ざん、または破壊からデータを保護するために使用されるポリシー、手順、およびテクノロジーを含むプロセスです。データ保護の最終的な目標は、顧客の個人情報、知的財産、機密のビジネス記録など、組織の重要なデータを保護することです。組織は、次の目的でデータ保護対策を実装する必要があります。
- データ侵害の防止
- データ漏洩のリスクの最小化
- データの可用性の確保
- データの整合性の維持
- 関連する規制の遵守
適切な戦略を立てることで、組織はデータを保護し、評判を守り、顧客からの信頼を得ることができます。組織でデータを効果的に保護することにより、潜在的な法的および財務上の影響も回避できます。
データ保護の重要性
組織のデータは最も貴重なアセットの1つであるため、その保護が最優先事項であることには疑いがありません。今日のデジタル環境では、組織は常にサイバー攻撃やデータ侵害の脅威に直面しています。データ保護は、ほぼすべてのセクターの企業にとって重要になっています。
2023年のIBMの報告によれば、世界のデータ侵害の平均被害額は445万ドルでした。米国では、2022年の平均は944万ドルで、世界平均の2倍以上となっています。また、このレポートではデータ侵害を特定して封じ込めるのに平均277日(約9か月)かかったことも指摘されています。
データ保護とデータセキュリティの比較
データ保護はデータプライバシーとは異なることに注意してください。データ保護ではデータを保護することに重点を置く一方、データプライバシーでは組織が顧客とユーザーの権利と同意を尊重しながら個人情報をどのように収集、保存、使用するかを扱います。
データ保護により、組織が機密情報を保護し、プライバシー規制に準拠するために必要なセキュリティ対策を講じることが可能になります。このように、データ保護はデータプライバシーを実現するための基盤となります。
詳細
データ保護ではポリシー、手順、手法を通じて情報を保護する一方、データセキュリティでは特にマルウェアや第三者がデータを操作することを防ぐために講じる対策を指します。
データセキュリティ対策は、データ保護プロセス全体の一部です。これらを組織のリスク戦略と一致させて、組織内のデータの整合性を確保します。
法的および規制のフレームワーク
コンプライアンス規制は、企業が機密データのセキュリティとプライバシーを確保するために遵守する必要がある法的要件で、その中には地域に固有のものや業界に固有のものがあります。
組織は、コンプライアンスに違反することで、データ侵害やインシデントのリスクが高まるだけでなく、法的および財務的な影響にも直面する可能性があります。データ保護とデータプライバシーに関する規制の例としては、以下のようなものがあります。
- 一般データ保護規則 (GDPR):欧州連合で適用される包括的なデータ保護規制。GDPRは、個人のプライバシー権に重点を置き、自分の個人データに対するコントロールを強化することを目指しています。
- カリフォルニア州消費者プライバシー法 (CCPA):米国の州レベルのデータ保護法。CCPAは、カリフォルニア州の居住者に対し、個人情報の収集、使用、販売に関連する特定の権利を与えています。
- 医療保険の相互運用性と説明責任に関する法律 (HIPAA):患者情報を保護するためのプライバシーとセキュリティの基準を定めた米国連邦法。
- ペイメントカード業界データセキュリティ基準 (PCI DSS):クレジットカード情報を受け入れ、処理、保存、または送信する企業が安全な環境を維持できるように設計された一連のセキュリティ基準。
規制に対するコンプライアンスは非常に重要ですが、いずれにしても、組織は知的財産や機密データなどの貴重なアセットを保護するためにデータ保護に注意を払う必要があります。データ保護の実践は、コンプライアンスにとどまらず、これらの重要なアセットが安全で侵害されない状態を保つためのものです。
詳細
こちらの記事では、組織が国内外の規制に準拠し、機密データが万全に保護されるようにするための多数のセキュリティフレームワークについて説明しています。ぜひお読みください。
データ保護の主な原則
個々のデータ保護規制で独自の原則が概説されている場合がありますが、これらの原則の多くは、規制のフレームワークを横断して共通するテーマを共有しています。組織が機密データを責任を持って安全に取り扱うために従うことができる原則の中に、GDPRで概説されている一連の原則があります。
| 原則 | 説明 |
|---|---|
| 適法性、公正性、透明性 | 個人データは、データ主体に関して、適法、公正かつ透明性のある方法で処理する必要があります。 |
| 目的の限定 | 個人データは明確に特定された正当な目的のために収集されなければなりません。さらに、それらの目的外で処理してはなりません。 |
| データの最小化 | 収集される個人データは、処理の目的に関連し、かつ適切であるものに限定されなければなりません。 |
| 精度 | 個人データは正確で、かつ必要に応じて、合理的な手順で不正確なデータを修正または消去することで、最新の状態に保たれる必要があります。 |
| 記録保存の制限 | 個人データは、データ主体を特定できる形式で、収集された目的に必要な期間に限って保存する必要があります。 |
| 完全性および機密性 | 個人データは、不正または違法な処理、偶発的な損失、破壊、または損害に対する保護を含む、適切なセキュリティを確保する方法で処理する必要があります。 |
| 説明責任 | データ管理者は、上記のデータ保護原則に対するコンプライアンスを実証し、実行する処理活動に責任を負う必要があります。 |
データ保護のトレンド
企業が採用しているデータ保護に関する最新のトレンドには、次のようなものがあります。
- ランサムウェアからの保護:ランサムウェアは基本的に、データを暗号化し、データを取り戻すには身代金を支払うよう要求します。ランサムウェア対策のソリューションは、データの流出を防ぐために、データのバックアップを実行するときのデータの暗号化を実装します。
- サービスとしての障害復旧 (DRaaS):組織はこのタイプのソリューションを実装してデータセンター全体のリモートコピーを作成し、攻撃が発生した場合はそれらを使用して運用を復元します。
- コピーデータ管理 (CDM):CDMは、保存されるデータのコピーの数を減らし、その結果、ストレージとオーバーヘッドのコストを削減します。さらに、SDLC(ソフトウェア開発ライフサイクル)を加速し、生産性を向上させます。
- モバイルデータ保護:これらのソリューションで重視しているのは、ラップトップ、携帯電話、タブレットなどのポータブルデバイス上のデータストアを保護することです。特に企業がBYODポリシーを採用する場合に、権限のないユーザーによるネットワークへのアクセスを確実に防止することで、このことが実現されます。
データ保護の手法とベストプラクティス
次のデータ保護手法は、組織が機密データを保護する際の指針となります。
- データ分類:データの機密性と重要性に基づいてデータを分類すること。一般的な分類には、公開、非公開、内部使用のみ、機密、制限付きなどがあります。このような分類は、セキュリティ対策に優先順位を付け、リソースを適切に割り当てるために役立ちます。
- データの暗号化:読み取り可能なデータをエンコードされた形式に変換して、不正アクセスから保護すること。データの暗号化では、暗号化アルゴリズムを採用することにより、対応するデコードキーなしではデータがアクセスまたは解読されないようにします。
- トークン化:機密データを一意のトークンに置き換えるデータ難読化の一形態。これは、データの匿名化および仮名化と呼ばれることもあります。識別可能な情報を削除したり、不明瞭な識別子に置き換えたりすることで、攻撃者が機密データを個人にリンクしにくいようにできます。
- 安全なデータストレージ:保存先がオンプレミスかクラウドかにかかわらず、不正アクセス、データ侵害、物理的な窃取から機密情報を確実に保護します。安全なデータストレージ対策には、保存データの暗号化やデータセンターでの物理的なセキュリティ対策などの手法があります。
- データのバックアップと復旧:重要なデータを定期的にコピーし、データの損失、破損、またはシステム障害が発生した場合に迅速に復元できるようにします。この手法は、多くの場合、データの複数のコピーを作成して異なる場所に保存するためのデータ冗長性対策と組み合わせて使用されます。
- データライフサイクル管理:データの作成、保存、使用、廃棄の指針となるプロセスとポリシーが含まれ、データが存在する期間全体を通じてセキュリティとコンプライアンスを確保します。
- アクセス制御と認証:ユーザーロール、権限、および認証情報に基づいて機密データへのアクセスを制限します。
- データ損失防止 (DLP):侵害、送信による流出、不正使用によるデータの損失、漏洩、誤用を検知して防止するための戦略とツールが含まれます。DLPツールには、パッチ適用、アプリケーションコントロール、デバイスコントロールなどが含まれ、これらはすべて、脅威アクターが利用できる領域を制限することでデータの保護を支援します。特筆すべき要素は次の2つです。
- エンドポイントセキュリティ:デスクトップ、ラップトップ、モバイルデバイスなどのエンドポイントを悪意のあるアクティビティから保護することに重点を置くDLPの重要な要素です。強力なエンドポイントセキュリティ対策を実装することで、組織は不正アクセスを防ぎ、これらのデバイスを介したデータ損失のリスクを軽減できます。
- インサイダーリスク管理:組織で最も信頼されているユーザーの振る舞いをモニタリングおよび分析し、悪意によるものであれ、偶発的なアクションによるものであれ、データ損失の可能性に対応します。効果的なインサイダーリスク管理戦略を実装することで、異常なアクティビティをより簡単に特定し、データの流出の試みをより適切に検知できます。
Expert Tip
採用すべき重要なデータ保護のベストプラクティス:
- 機密データとアセットの特定:組織のデータの棚卸を行い、機密データの構成要素を特定します。これにより、不正アクセス、誤用、紛失に伴う潜在的なリスクと影響を評価できます。このプロセスでは、組織のデータの状況を包括的に理解できるよう、部門間で連携して取り組むことが多くなります。
- 従業員のトレーニングと意識向上の実施:人為的ミスとインサイダー脅威はデータ侵害の最も一般的な原因となるため、これらの脅威を大幅に軽減できるよう、データを安全に処理する方法、フィッシングの試みを特定する方法、強力なパスワードを使用する方法について従業員を教育することが不可欠です。定期的なトレーニングプログラムとシミュレーションを通じて、サイバー犯罪者が使用した最新の脅威に関して従業員が常に認識するようにできます。
- 内部および外部のリスクの評価:ITチームは、悪意をもったインサイダーによるデータの誤用やセキュリティの設定ミスなどの内部の脅威と、ソーシャルエンジニアリングの試みなどの外部の脅威を認識する必要があります。
データ侵害とインシデント対応
組織が前述した手法およびベストプラクティスを使用して、データを適切に保護していなかった場合、データ侵害などの被害が生じる可能性があります。
データ侵害の一般的な原因には、次のものがあります。
したがって、インシデント対応 (IR) 計画もデータ保護にとって重要な要素です。IR計画によって、組織はデータ侵害やセキュリティインシデントに効果的に対処するための手順を定めることができます。
十分に練られたIR計画には、部門横断的な専門家のチームが関与し、役割と責任が明確に定義されています。このため、連携の取れた迅速な対応によって、インシデントを封じ込め、調査し、修復することができます。IR計画の策定は最初の一歩にすぎず、定期的に見直して更新する必要もあります。最新のIR計画に従うことで、データ侵害の影響を最小限に抑え、貴重なデータを保護し、会社の評判と顧客からの信頼の両方を守ることができます。
Expert Tip
データを保護するために必要な対策を実施する際には、DLPソリューションと併せて、次世代アンチウイルス (NGAV) およびEDR(エンドポイント検知・対応) を利用できます。これらは、統合された、クラウドネイティブなCrowdStrike Falcon®プラットフォーム上に構築されたセキュリティ製品です。クラウドストライクでは、インシデントや侵害を特定して対応するためのさまざまなリソースとサービスをまとめたインシデント対応 (IR) も提供しています。
クラウドストライクを使用したデータの保護
貴社のような組織では、データ保護を優先する必要があります。機密情報のセキュリティを確保することで、コンプライアンスを維持し、最も貴重なアセットを守ることができます。CrowdStrike Falcon®プラットフォームは、侵害を阻止し、個人データの整合性と機密性を維持し、環境全体でセキュリティイベントに関する全社的なインサイトを提供することを目的としています。
アンバー・ベーム(Amber Boehm)は、ワシントン州シアトルを拠点とするクラウドストライクのデータ検知と対応の製品マーケティング担当ディレクターです。
